skip to content

AI Act européen : nouvelle réglementation IA et impacts pour les entreprises

Nicolas Verlhiac : photo de l'auteur de l'article
Nicolas Verlhiac
Découvrez l'AI Act européen en 2025, premier cadre législatif mondial sur l'IA. Obligations, échéances et conformité pour les entreprises.

L’AI Act est entré en vigueur le 1er août 2024. Ce règlement européen (UE) 2024/1689 constitue le premier cadre législatif mondial qui encadre le développement, la mise sur le marché et l’utilisation des systèmes d’intelligence artificielle.

Pour les entreprises, cette réglementation nécessite une adaptation de leurs pratiques. Maîtriser ses exigences permet d’assurer la conformité de vos systèmes d’IA et d’éviter des sanctions allant jusqu’à 35 millions d’euros ou 7% du chiffre d’affaires mondial.

Qu’est-ce que l’AI Act européen ?

L’AI Act (Artificial Intelligence Act) est le règlement européen qui établit des règles harmonisées pour l’intelligence artificielle dans l’Union européenne. Son objectif principal est double :

  • Protéger les droits fondamentaux des citoyens européens
  • Favoriser l’innovation en créant un cadre juridique prévisible

Cette approche équilibrée vise à faire de l’Europe un leader mondial de l’IA de confiance, tout en préservant la compétitivité des entreprises européennes.

Un calendrier d’application échelonnée

L’AI Act ne s’applique pas immédiatement dans son intégralité. La Commission européenne a prévu un déploiement progressif :

  • 2 février 2025 : Interdiction des systèmes d’IA à risque inacceptable
  • 2 août 2025 : Application des règles pour les modèles d’IA à usage général et désignation des autorités compétentes
  • 2 août 2026 : Application complète aux systèmes d’IA à haut risque

Cette approche échelonnée permet aux entreprises de s’adapter progressivement aux nouvelles exigences.

Qui est concerné par l’AI Act ?

Le règlement s’applique à toute organisation qui :

  • Fournit des systèmes d’IA sur le marché européen
  • Importe des technologies d’IA dans l’UE
  • Distribue ou déploie des solutions d’IA
  • Utilise des systèmes d’IA dans un contexte professionnel

Important : Les entreprises situées en dehors de l’UE sont également concernées si leurs produits ou services d’IA sont utilisés dans l’Union européenne.

Cette approche extraterritoriale, similaire au RGPD, étend la portée du règlement bien au-delà des frontières européennes.

Concrètement, une entreprise américaine, chinoise ou japonaise qui développe un système d’IA utilisé par des clients européens devra se conformer à l’AI Act. Cela inclut les plateformes de commerce électronique avec des algorithmes de recommandation, les solutions RH basées sur l’IA pour le recrutement, ou encore les systèmes de modération de contenu automatisée. Cette règle s’applique même si l’entreprise n’a aucune présence physique en Europe, créant ainsi un effet Bruxelles qui pousse les standards européens vers une adoption mondiale.

Classification des systèmes d’IA par niveau de risque

L’AI Act adopte une approche basée sur les risques, classant les systèmes d’IA en quatre catégories distinctes :

1. Risque inacceptable - Systèmes interdits

Ces systèmes sont totalement prohibés car ils menacent les droits fondamentaux :

  • Systèmes de notation sociale par les autorités publiques
  • IA exploitant les vulnérabilités liées à l’âge ou au handicap
  • Technologies de reconnaissance des émotions sur le lieu de travail ou en milieu scolaire
  • Identification biométrique en temps réel dans l’espace public (sauf exceptions strictes)

2. Haut risque - Obligations strictes

Les systèmes d’IA à haut risque doivent respecter des exigences renforcées :

Domaines concernés :

  • Infrastructures critiques (transport, énergie)
  • Éducation et formation professionnelle
  • Emploi et gestion des ressources humaines
  • Services publics essentiels
  • Justice et processus démocratiques
  • Biométrie et catégorisation biométrique

Obligations principales :

  • Système de gestion des risques
  • Gouvernance et qualité des données
  • Documentation technique détaillée
  • Transparence et information des utilisateurs
  • Surveillance humaine appropriée
  • Robustesse, précision et cybersécurité

3. Risque limité - Obligations de transparence

Ces systèmes doivent informer clairement les utilisateurs qu’ils interagissent avec une IA :

  • Chatbots et assistants virtuels
  • Systèmes de génération de contenu (deepfakes)
  • Systèmes de recommandation

4. Risque minimal - Aucune obligation spécifique

La majorité des applications d’IA entrent dans cette catégorie sans contraintes particulières, comme les filtres anti-spam ou les jeux vidéo utilisant l’IA.

Focus sur les modèles d’IA à usage général (GPAI)

L’AI Act accorde une attention particulière aux modèles d’IA générative comme ChatGPT, Claude, ou Gemini. Ces systèmes polyvalents sont soumis à des règles spécifiques :

Obligations pour tous les modèles GPAI :

Les fournisseurs de modèles d’IA à usage général doivent répondre à des exigences de transparence spécifiques. Ces obligations s’appliquent dès que le modèle est mis sur le marché européen, indépendamment du lieu de développement ou de la taille de l’entreprise.

  • Documentation technique complète
  • Respect du droit d’auteur européen
  • Publication d’un résumé détaillé des données d’entraînement

Obligations renforcées pour les modèles systémiques :

Pour les modèles nécessitant plus de 10²⁵ FLOP d’entraînement :

  • Évaluation des risques systémiques
  • Tests d’adversité poussés
  • Suivi des incidents graves
  • Mesures de cybersécurité renforcées

Un code de bonnes pratiques est actuellement en cours d’élaboration avec près de 1000 participants et devrait être finalisé en avril 2025.

Rôle de la CNIL et gouvernance nationale

En France, la CNIL (Commission Nationale de l’Informatique et des Libertés) joue un rôle central dans l’application de l’AI Act :

Missions de la CNIL :

  • Contrôle de conformité des systèmes d’IA
  • Accompagnement des entreprises dans leur mise en conformité
  • Coordination avec les autres autorités européennes
  • Sanctions en cas de non-respect

Complémentarité avec le RGPD :

L’AI Act complète le RGPD sans le remplacer. Les entreprises doivent donc respecter :

  • Les obligations RGPD pour le traitement des données personnelles
  • Les exigences AI Act pour les systèmes d’intelligence artificielle
  • Les éventuelles réglementations sectorielles spécifiques

Sanctions et pénalités : des montants dissuasifs

L’AI Act prévoit des sanctions financières importantes pouvant atteindre :

  • 35 millions d’euros ou 7% du chiffre d’affaires mondial pour les violations les plus graves
  • 15 millions d’euros ou 3% du chiffre d’affaires pour les systèmes à haut risque
  • 7,5 millions d’euros ou 1,5% du chiffre d’affaires pour les autres violations

Ces montants, calculés selon le plus élevé des deux critères, représentent un risque financier majeur pour les entreprises non conformes.

Actions concrètes pour se préparer à l’AI Act

1. Audit de l’existant

  • Inventorier tous les systèmes d’IA utilisés dans l’entreprise
  • Classer chaque système selon les catégories de risque
  • Identifier les fournisseurs et partenaires concernés

Cette cartographie initiale constitue le fondement de votre stratégie de conformité. Elle permet d’identifier les zones de risque prioritaires et d’estimer les ressources nécessaires pour la mise en conformité. N’oubliez pas d’inclure les systèmes d’IA intégrés dans des solutions tierces ou les outils utilisés par vos équipes.

2. Mise en conformité progressive

  • Éliminer ou modifier les systèmes à risque inacceptable
  • Renforcer la documentation des systèmes à haut risque
  • Améliorer la transparence des systèmes à risque limité

L’approche progressive permet de prioriser les actions selon les échéances réglementaires et l’impact business. Commencez par les systèmes interdits dès février 2025, puis concentrez-vous sur la documentation des systèmes à haut risque avant août 2026. Cette planification évite la précipitation et optimise les investissements.

3. Gouvernance et formation

  • Désigner un responsable IA au sein de l’organisation
  • Former les équipes aux enjeux de conformité
  • Établir des procédures de surveillance continue

La gouvernance IA doit s’intégrer dans les processus existants de l’entreprise. Le responsable IA travaille en transverse avec les équipes juridiques, techniques et métier pour assurer une approche cohérente. Les formations doivent être adaptées aux rôles : sensibilisation générale pour tous, formation approfondie pour les équipes techniques et juridiques.

4. Collaboration avec les fournisseurs

  • Exiger la conformité AI Act dans les contrats
  • Vérifier les certifications des solutions tierces
  • Planifier les mises à jour nécessaires

La chaîne de responsabilité s’étend aux partenaires technologiques. Intégrez des clauses AI Act dans vos contrats existants et futurs. Demandez des garanties de conformité et des plans de mise à jour. Cette collaboration proactive avec les fournisseurs évite les interruptions de service et partage les risques de conformité.

L’avenir de l’IA en Europe : innovation et confiance

L’AI Act européen marque le début d’une nouvelle ère pour l’intelligence artificielle. En établissant des règles claires et prévisibles, cette réglementation vise à :

  • Renforcer la confiance des utilisateurs dans les technologies d’IA
  • Stimuler l’innovation européenne dans l’IA de confiance
  • Créer un avantage concurrentiel pour les entreprises respectueuses des droits fondamentaux

Pour les entreprises, la conformité à l’AI Act représente certes un défi, mais aussi une opportunité de différenciation sur un marché mondial de plus en plus sensible aux questions éthiques et de transparence.

Agir dès maintenant

L’AI Act européen transforme fondamentalement le paysage de l’intelligence artificielle. Avec les premières échéances fixées à février 2025, les entreprises ont peu de temps pour s’adapter.

Les actions prioritaires :

  • Réaliser un audit IA complet
  • Identifier les systèmes à risque
  • Mettre en place une gouvernance adaptée
  • Se faire accompagner par des experts

L’accompagnement de la Direction générale des entreprises et de la CNIL facilitera cette transition vers une IA plus transparente et respectueuse des droits fondamentaux.

Besoin d’accompagnement dans votre mise en conformité AI Act ? Découvrez nos services de conseil en gouvernance des données pour une approche personnalisée de la conformité IA.

Concepts & Notions

Système d’intelligence artificielle

Selon l’AI Act, un système d’IA est défini comme un système basé sur une machine qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des sorties telles que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit.

Modèle d’IA à usage général (GPAI)

Un modèle d’IA à usage général est un modèle d’IA, y compris lorsqu’il est entraîné au moyen d’un apprentissage auto-supervisé ou non supervisé, qui présente une généralité significative et qui est capable d’effectuer de manière compétente un large éventail de tâches distinctes, indépendamment de la façon dont le modèle est mis sur le marché.

FLOP (Floating Point Operations)

Une unité de mesure des opérations en virgule flottante utilisée pour quantifier la puissance de calcul nécessaire à l’entraînement d’un modèle d’IA. Le seuil de 10²⁵ FLOP détermine si un modèle GPAI est considéré comme “systémique” et soumis à des obligations renforcées.

Fournisseur vs Déployeur

  • Fournisseur : personne physique ou morale qui développe un système d’IA ou fait développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous son nom ou sa marque
  • Déployeur : personne physique ou morale utilisant un système d’IA sous son autorité, sauf lorsque le système d’IA est utilisé dans le cadre d’une activité personnelle non professionnelle

Surveillance humaine appropriée

Mesures techniques et organisationnelles garantissant qu’un système d’IA est effectivement supervisé par des personnes physiques durant la période de son utilisation, permettant d’intervenir ou d’interrompre le système si nécessaire.