AI Act : tout ce que vous devez savoir

Si votre entreprise développe, achète ou utilise l'IA en Europe, la loi sur l'IA de l'UE est désormais une lecture impérative.

Cela s'applique non seulement aux entreprises européennes, mais également à toute organisation dont l'IA touche le marché de l'UE.

Dans ce guide, vous découvrirez ce qu'est la loi européenne sur l'IA, comment sa législation est structurée, et son impact concret sur votre entreprise.

Qu'est-ce que l'AI Act ?

L'AI Act est la première loi complète au monde sur l'intelligence artificielle. Elle définit des règles harmonisées sur la manière dont l'IA est créée, déployée et supervisée dans l'Union européenne.

La loi est officiellement entrée en vigueur le 1er août 2024 après publication au Journal officiel de l'UE le 12 juillet 2024. À partir de là, ses obligations s'échelonneront au fil du temps plutôt que d'un seul coup.

Vous verrez la Loi référencée comme Règlement (UE) 2024/1689. Comme il s'agit d'un règlement (et non d'une directive), les règles s'appliquent directement dans chaque État membre sans transposition nationale.

Si vous créez ou intégrez des modèles d'IA à usage général (GPAI), la loi ajoute des obligations supplémentaires en matière de transparence et de gouvernance. Un Bureau de l'IA au sein de la Commission européenne coordonne ces règles, en particulier pour le GPAI, et travaille avec les autorités nationales pour les faire appliquer.

Les exigences de la Loi sont mises en œuvre par étapes. Sont en vigueur aujourd'hui les interdictions des pratiques interdites, puis les obligations des GPAI, la plupart des obligations à haut risque étant appliquées plus tard. Le calendrier officiel met en évidence la publication au Journal officiel (12 juillet 2024) et l'entrée en vigueur (1er août 2024), suivie d'une applicabilité progressive. La Commission a également réaffirmé que ce calendrier demeurait le même, malgré les appels du secteur en faveur de délais supplémentaires.

Législation et structure réglementaire de l'AI Act

Pour comprendre comment la loi de l'UE sur l'IA façonne vos obligations, analysons son architecture législative, ses principales obligations par niveau de risque et la manière dont son application est intégrée.

Pratiques interdites en matière d'IA (la « ligne rouge »)

Certaines utilisations de l'IA sont carrément interdites. La Loi interdit les systèmes d'IA qui :

• Utilisent des techniques manipulatrices qui déforment le comportement sans en avoir conscience.
• Exploitent les groupes vulnérables (en raison de leur âge, de leur handicap, de leur statut social) d'une manière préjudiciable.
• Effectuent une notation sociale ou une classification comportementale généralisée d'une manière qui entraîne un traitement discriminatoire ou injuste.
• Utilisent la catégorisation biométrique pour déduire des traits sensibles tels que la race, la religion, l'orientation (sauf pour les utilisations strictement réglementées par les forces de l'ordre).

Si votre système appartient à l'une de ces catégories, il n'est pas autorisé dans l'UE.

L'approche basée sur les risques (ce qui s'applique à vous)

La Loi classe les obligations en fonction des risques, afin de ne pas trop suréguler des outils simples ou sous-réguler des outils à gros impact. Voici comment lire les différents niveaux et ce que vous devez faire.

Risque minime ou négligeable.
Pensez à des filtres anti-spam ou à une automatisation inoffensive. Vous n'avez aucune obligation légale importante en vertu de la Loi. Continuez, mais suivez les bonnes pratiques d'ingénierie.

Risque limité.
Si les utilisateurs interagissent directement avec votre IA, comme un chatbot ou un recommandateur, vous devez faire preuve de transparence quant à leur interaction avec l'IA. Faites en sorte que cette divulgation soit claire et opportune dans votre UX.

Risque élevé
Cela couvre l'IA utilisée dans des domaines à enjeux élevés tels que le recrutement, l'éducation, les soins de santé, les infrastructures critiques et l'accès aux services essentiels. À cet égard, vous avez besoin d'une gouvernance robuste : gestion des risques, contrôles rigoureux de la qualité des données, supervision humaine, documentation technique, précision et robustesse, journaux d'audit et évaluation de la conformité avant la mise en marché. Si vous êtes un fournisseur, attendez-vous à un travail de préparation significatif avant le lancement et à une surveillance continue par la suite.

IA à usage général (GPAI).
Si vous développez ou fournissez un modèle général, vous assumez des obligations supplémentaires en matière de transparence et de documentation. Vous devrez peut-être publier un résumé des sources de données de formation protégées par le droit d'auteur et tenir à jour des fiches modèles et des rapports de transparence. Pour les modèles présentant un « risque systémique », attendez-vous à des tests plus approfondis et à des contrôles de robustesse contradictoires.

Vous pouvez également opter de manière bénévole pour un code de conduite lorsque vous vous trouvez en dehors du périmètre à haut risque ou du GPAI, ce qui constitue un moyen intelligent de démontrer votre responsabilité envers les clients et les régulateurs.

Obligations relatives aux systèmes d'IA à haut risque

Si votre IA est qualifiée à haut risque, plusieurs responsabilités entrent en jeu, surtout lorsque vous êtes fournisseur. Il vous faudra :

• Établir et maintenir des systèmes de gestion des risques pour détecter, évaluer et atténuer les risques.
• Garantir la qualité des données, gestion des biais, validation et tests d'ensembles de données d'entraînement et d'entrée.
• Produire et entretenir la documentation technique (conception, architecture, logique de commande, limites).
• Mettre en œuvre une supervision humaine, afin que les humains puissent intervenir ou annuler les décisions.
• Satisfaire les exigences de précision, robustesse, cybersécurité, et fiabilité.
• Maintenir une surveillance constante après la mise en marché et signaler les incidents graves ou les dysfonctionnements.
• Attribuer des Marquage CE/évaluation de conformité, souvent par l'intermédiaire d'organismes notifiés de l'UE.

En ce qui concerne les déployeurs de ces systèmes d'IA, leurs obligations sont plus légères mais tout de même significatives : suivre les directives d'utilisation, surveiller le fonctionnement dans son contexte, conserver des journaux pendant au moins six mois, informer les travailleurs et les utilisateurs des risques.

Règles particulières pour l'IA à usage général (GPAI)

Les modèles GPAI sont bien plus que de simples outils, ils constituent une vraie infrastructure. C'est pourquoi la Loi les traite spécialement :

• Les fournisseurs doivent publier des résumés des données protégées par le droit d'auteur utilisé pour l'entraînement.
• Ils doivent tenir à jour la documentation technique, les fiches modèles et les rapports de transparence.
• Le modèle doit être conçu pour empêcher la génération de contenus illégaux (par exemple, discours de haine, désinformation).
• Pour les modèles GPAI considérés comme présentant un « risque systémique », des tests supplémentaires, des contrôles de robustesse contradictoires et des obligations de déclaration peuvent s'appliquer.

Enfin, les systèmes non à haut risque ou non GPAI peuvent toujours opter pour codes de conduite volontaires en vertu de la Loi (Titre III).

Gouvernance, application de la loi et sanctions

La force d'une bonne loi dépend de son mécanisme d'application. La gouvernance de la loi sur l'IA de l'UE comporte plusieurs niveaux.

Office européen de l'IA et organes consultatifs

La loi sur l'IA établit une Bureau de l'IA au sein de la Commission européenne pour superviser la conformité dans l'ensemble de l'UE, en particulier pour le GPAI, et pour coordonner l'application entre les autorités nationales. Les organes consultatifs comprennent le Conseil européen de l'intelligence artificielle, un groupe scientifique et un forum consultatif.

Autorités nationales et surveillance du marché

Chaque État membre de l'UE doit désigner des autorités nationales compétentes (organismes de surveillance du marché) chargés de superviser la conformité, de mener des inspections et d'appliquer les sanctions. Ces autorités désignent également des organismes notifiés qui gèrent les évaluations de conformité des systèmes à haut risque.

Pouvoirs d'exécution et limites

Les autorités nationales disposent de pouvoirs d'enquête (demandes de documents, audits) en vertu du règlement 2019/1020 sur la conformité des produits. Pour le GPAI, le bureau de l'IA de l'UE a le pouvoir de superviser directement. Il existe toutefois des garanties procédurales : les demandes de documents échangées avec le conseiller juridique interne sont protégées et les entreprises ont le droit d'être entendues avant les décisions.

Sanctions en cas de non-conformité

Les violations sont classées par niveau de gravité. Les principales amendes sont les suivantes :

• Jusqu'à 40 millions d'euros, soit 7 % du chiffre d'affaires mondial pour des pratiques interdites.
• En cas de manquement à la transparence, à la gouvernance des données ou aux obligations d'information : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires.
• Autres violations : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires.

Les organismes publics, les avocats ou les citoyens peuvent déposer des plaintes auprès des autorités nationales. Les régulateurs peuvent imposer des ordonnances correctives, exiger la suspension des systèmes d'IA ou infliger des amendes.

Quel est l'impact concret de la loi européenne sur l'IA sur les entreprises ?

La loi européenne sur l'IA n'est pas une réglementation abstraite. Cela change votre feuille de route, votre gouvernance et la façon dont vous vendez en Europe. Voici ce que vous devez savoir.

3.1 Qui est concerné

La Loi s'applique de manière générale. Il lie :

• Prestataires — les entreprises qui développent ou commercialisent l'IA sur le marché de l'UE
• Déployeurs — entreprises utilisant l'IA au sein de l'UE
• Importateurs et distributeurs — les entreprises introduisant des systèmes d'IA dans l'UE ou les revendant

Cela s'applique également de manière extraterritoriale : si votre système est utilisé dans l'UE, vous êtes concerné, quel que soit l'endroit où vous l'avez construit ou hébergé.

3.2 Chronologies que vous devez suivre

La loi est entrée en vigueur le 1er août 2024, mais les obligations se déploient par étapes :

• février 2025 → les interdictions relatives aux pratiques interdites et les devoirs d'alphabétisation à l'IA s'appliquent
• août 2025 → les règles de l'IA à usage général (GPAI) entrent en vigueur
• août 2026 → la plupart des obligations s'appliquent à la plupart des systèmes
• août 2027 → L'IA à haut risque liée aux règles de sécurité des produits existantes de l'UE doit être conforme

Ces délais sont fixes. La Commission a déjà confirmé qu'il n'y aurait aucun retard général.

3.3 Nouvelles obligations que vous devez prévoir

Pour les systèmes d'IA à haut risque, vous devrez :

• Gérez un système de gestion des risques
• Utilisez des ensembles de données de qualité et vérifiés
• Produire et tenir à jour une documentation technique détaillée
• Intégrer la supervision humaine
• Répondez aux exigences de précision, de robustesse et de cybersécurité
• Maintenez les processus de surveillance et de signalement des incidents après la commercialisation
• Réussir l'évaluation de conformité et apposer le marquage CE

Les prestataires assument la plupart de ces obligations, mais déployeurs doit également suivre les directives d'utilisation, conserver des journaux, surveiller les systèmes dans leur contexte réel et informer les personnes concernées si nécessaire.

Pour les modèles GPAI, les fournisseurs doivent :

• Publier des résumés de données de formation protégées par le droit d'auteur
• Produire des rapports de transparence et de la documentation technique
• Protection de la conception contre les contenus illégaux
• Réaliser des tests contradictoires si les modèles sont considérés comme un « risque systémique »

Si vous intégrez le GPAI à vos produits, vous devrez répartir ces tâches en aval et vous assurer que vos fournisseurs s'y conforment.

3.4 Les fonctions commerciales les plus touchées

• Ingénierie et produit Les pipelines CI/CD incluent désormais la validation des ensembles de données, des tests de biais, des contrôles de robustesse, des mises à jour de la documentation et des journaux à des fins de supervision.
• Juridique et conformité → Fichiers de marquage CE, évaluations de conformité, clauses contractuelles avec les fournisseurs et guides de réponse des régulateurs.
• Gestion des achats et des fournisseurs → une nouvelle diligence à l'égard des fournisseurs : traçabilité des données de formation, rapports de transparence, parcours des incidents.
• Commerce et ventes → la conformité devient un signal de confiance dans les appels d'offres. Le marquage CE et les rapports de transparence GPAI peuvent raccourcir les examens de sécurité.

3.5 Coûts et risques

La conformité n'est pas gratuite. Attendez-vous à des impacts budgétaires liés aux audits, à la documentation, à la formation du nouveau personnel et à d'éventuelles refontes du système. Pour les petites entreprises, les modèles et les codes de pratique contribuent à alléger la charge de travail, mais vous aurez tout de même besoin d'une base de référence en matière de gouvernance.

Les amendes évoluent rapidement :

• Jusqu'à 40 millions d'euros, soit 7 % du chiffre d'affaires mondial pour les pratiques interdites
• Jusqu'à 20 millions d'euros ou 4 % pour manquement à la transparence et à la gouvernance
• Jusqu'à 10 millions d'euros ou 2 % pour d'autres violations

Avant même que les amendes, les enquêtes et les ordonnances correctives ne perturbent les opérations et ne nuisent à la réputation.

Comment intégrer la loi européenne sur l'IA dans vos processus

Vous n'avez pas besoin d'une thèse de droit pour rester cnforme. Voici une séquence pratique que vous pouvez adopter dès aujourd'hui.

4.1 Cartographier votre empreinte et vos rôles en matière d'IA

Répertoriez tous les systèmes et usages que fournit l'IA dans l'ensemble de votre produit et de votre back-office. Identifiez qui est reponsable de quoi pour chaque système : fournisseur, déployeur, importateur, ou distributeur—parce que les tâches changent en fonction du rôle. Les déployeurs, par exemple, doivent utiliser les systèmes conformément aux instructions, attribuer une supervision humaine, informer les travailleurs et conserver des journaux pendant au moins six mois.

4.2 Classer les risques

Classez chaque système selon leur niveau de risque dans la Loi. Vérifiez si c'est à haut risque en vertu de l'article 6/Annexe III (par exemple, recrutement, formation, services essentiels). Dans l'affirmative, prévoyez des contrôles stricts ; dans le cas contraire, notez les obligations de transparence à risque limité. Gardez cet inventaire en ligne et revérifiez lorsque les fonctionnalités changent.

4.3 Créer un système de gestion de la qualité (SMQ) léger

Pour les systèmes à haut risque, un système de gestion de la qualité est obligatoire pour les fournisseurs. Intégrez des procédures pour la gestion des risques, la gouvernance des ensembles de données, les tests, la documentation, la supervision humaine, la gestion des incidents et le marquage CE. Traitez-le comme une discipline de produit, pas comme un liant.

4.4 Intégrer la supervision humaine à l'UX

La supervision humaine n'est pas une case à cocher. Définissez qui peut intervenir, quand ils voient des alertes, et comment ils annulent le système. Documentez les abus prévisibles et les mesures qui permettent de les réduire.

4.5 Documenter comme si vous alliez être audité

Créez des documents techniques évolutifs : objectif, limites, architecture, sources de données, plans d'évaluation et risques connus. Conservez des journaux versionnés et l'historique des modifications. Vous en aurez besoin pour la surveillance après la commercialisation et, en cas de risque élevé, pour l'évaluation de la conformité. Automatisez la saisie d'autant de preuves que possible.

4.6 Préparation à la conformité CE (le cas échéant)

Si votre IA présente un risque élevé,  effectuez des évaluations de la conformité le plus tôt possible. Certaines catégories font appel à un contrôle interne ; d'autres font appel à un organisme notifié. Ne remettez pas la collecte de preuves à une semaine de publication, associez-la à votre CI/CD. Apposez le marquage CE lorsque vous répondez aux exigences.

4.7 Aligner sur des normes harmonisées

Piste CEN-CENELEC travailler sur les normes relatives à l'IA et adopter les normes pertinentes au fur et à mesure de leur publication. Les normes harmonisées fournissent une présomption de conformité, réduisant ainsi l'ambiguïté et les frictions liées à l'audit. Demandez à un propriétaire de suivre les mises à jour des normes et de les traduire en listes de contrôle.

4.8 Mettre en place un suivi après la mise en marché

Décidez de la manière dont vous allez détecter les problèmes après le lancement : télémétrie, rapports d'erreurs, commentaires des utilisateurs et contrôles périodiques de biais et de précision. Définissez à quel moment vous devez informer les autorités d'un incident grave et à quelle vitesse vous pouvez compiler les faits.

4.9 Gouvernance du GPAI (si vous vous en servez ou si vous le fournissez)

Si vous fournissez IA à usage général, préparez des résumés du contenu de formation protégé par le droit d'auteur et des rapports de transparence. Suivez les activités de la Commission du Code de pratique GPAI et le modèle officiel pour les résumés des données de formation : les signer et les utiliser peuvent réduire votre charge de conformité.

4.10 Créer une posture adaptée à la régulation

Connaissez vos régulateurs : votre autorité nationale et le Bureau de l'IA de l'UE (en particulier pour GPAI). Conservez une source unique de vérité pour les documents et désignez une équipe d'intervention. Pratiquez des exercices « de table » afin de pouvoir fournir des preuves rapidement et de manière cohérente.

4.11 Hygiène des fournisseurs et des contrats

Quand vous achetez de l'IA, classifiez les risques, utilisation prévue, documentation technique, fiches modèles, résumés des sources de données (pour GPAI) et contrats de niveau de service relatifs aux incidents. Tenez compte des responsabilités du fournisseur par rapport à celles du déployeur dans les contrats afin d'éviter toute lacune. Réévaluez les fournisseurs à chaque version majeure.

4.12 Aligner votre feuille de route au délai réglementaire

Alignez votre plan au calendrier de l'UE : la loi est en vigueur, avec une large applicabilité à partir de 2 août 2026, et des dates supplémentaires pour le GPAI et les autres chapitres antérieurs. La Commission a confirmé qu'il y a pas de pause— donc adaptez votre conformité maintenant