1. Qu'est-ce que le règlement IA ?
Le règlement (UE) 2024/1689, communément appelé « AI Act » ou règlement IA, est entré en vigueur le 1er août 2024. Il constitue le premier cadre juridique contraignant au monde dédié spécifiquement à l'intelligence artificielle. Son objectif est double : garantir que les systèmes IA déployés dans l'UE sont sûrs et respectent les droits fondamentaux, tout en favorisant l'innovation et la compétitivité européenne dans ce secteur.
Le règlement s'applique selon une approche basée sur les risques : plus un système IA présente de risques potentiels pour la santé, la sécurité ou les droits fondamentaux des personnes, plus les obligations qui lui sont imposées sont strictes. Cette logique de proportionnalité est au cœur de la structure du texte.
Qui est concerné ?
Le règlement distingue plusieurs rôles avec des obligations différenciées :
- Fournisseurs — organisations qui développent ou font développer un système IA en vue de le mettre sur le marché ou en service sous leur propre nom ; obligations les plus lourdes.
- Déployeurs — organisations qui utilisent un système IA dans le cadre de leurs activités professionnelles (sans l'avoir développé) ; obligations allégées mais réelles, notamment pour l'IA à haut risque.
- Importateurs et distributeurs — responsables de la conformité des systèmes qu'ils commercialisent dans l'UE.
- Fournisseurs de modèles IA à usage général (GPAI) — catégorie spécifique avec ses propres obligations depuis août 2025.
2. Calendrier d'application
L'AI Act s'applique progressivement selon un calendrier échelonné sur trois ans. Les obligations les plus urgentes sont déjà en vigueur.
| Date | Étape |
|---|---|
| 01.08.2024 | Entrée en vigueur du règlement IA |
| 02.02.2025 | Interdictions applicables — pratiques IA à risque inacceptable prohibées dans toute l'UE |
| 02.08.2025 | Obligations pour les modèles IA à usage général (GPAI) — GPT-like, grands modèles de langage, modèles multimodaux |
| 02.08.2026 | Application complète pour l'IA à haut risque (Annexe III) — recrutement, crédit, diagnostic médical, infrastructure critique |
| 02.08.2027 | IA intégrée dans des produits réglementés (Annexe I) — dispositifs médicaux, machines, véhicules, jouets |
3. Les quatre niveaux de risque
L'AI Act classe les systèmes IA en quatre niveaux de risque, chacun entraînant un régime réglementaire différent. La classification détermine l'ensemble des obligations applicables — il est donc essentiel de la réaliser correctement pour chaque système IA utilisé ou développé.
| Niveau | Exemples | Réglementation |
|---|---|---|
| Risque inacceptable | Scoring social par les autorités publiques, surveillance biométrique de masse en temps réel dans l'espace public, manipulation comportementale subliminale, exploitation des vulnérabilités | INTERDIT depuis le 2 février 2025 — aucune dérogation |
| Haut risque | IA dans le recrutement (CV screening, scoring de candidats), notation de crédit, diagnostic médical assisté par IA, IA dans l'infrastructure critique (énergie, eau, transport), contrôle aux frontières, administration de la justice | Exigences strictes obligatoires, évaluation de conformité, marquage CE, enregistrement dans la base de données UE |
| Risque limité | Chatbots conversationnels, générateurs de deepfakes, systèmes de recommandation de contenu | Obligations de transparence uniquement — signalement que l'utilisateur interagit avec une IA, étiquetage des deepfakes |
| Risque minimal | Filtres anti-spam basés sur l'IA, moteurs de recommandation de contenu sans profilage sensible, jeux vidéo avec IA | Aucune obligation particulière — application du droit commun |
4. Pratiques IA interdites (depuis février 2025)
L'article 5 du règlement IA liste les pratiques constituant un « risque inacceptable » pour les droits fondamentaux. Ces interdictions sont absolues — aucune dérogation n'est possible, et elles s'appliquent à tous les acteurs, publics et privés, depuis le 2 février 2025.
- Systèmes de scoring social généralisé Systèmes d'évaluation ou de classification des personnes physiques par les autorités publiques sur la base de leur comportement social ou de caractéristiques personnelles, avec effets préjudiciables.
- Identification biométrique en temps réel dans l'espace public par les forces de l'ordre Reconnaissance faciale en direct sur des flux vidéo dans des espaces accessibles au public à des fins répressives — sauf exceptions très strictement encadrées (infractions graves, recherche de victimes).
- Manipulation comportementale subliminale Systèmes utilisant des techniques subliminales ou délibérément manipulatrices agissant sous le seuil de conscience pour influencer le comportement d'une personne contre ses intérêts.
- Exploitation des vulnérabilités de groupes spécifiques Systèmes exploitant les vulnérabilités liées à l'âge, au handicap ou à la situation socio-économique pour influencer le comportement d'une manière susceptible de causer un préjudice.
- Prédiction criminelle basée uniquement sur le profilage IA Évaluation du risque qu'une personne commette une infraction pénale basée uniquement ou principalement sur le profilage ou l'évaluation de traits de personnalité — sans faits objectifs liés à une activité criminelle.
- Reconnaissance des émotions dans les lieux de travail et d'enseignement Systèmes d'IA inférant les émotions de personnes physiques dans le cadre du travail ou dans les établissements d'enseignement — sauf à des fins médicales ou de sécurité dûment justifiées.
- Catégorisation biométrique par caractéristiques protégées Classification de personnes physiques à partir de données biométriques pour déduire leur race, opinions politiques, appartenance syndicale, convictions religieuses, vie sexuelle ou orientation sexuelle.
5. Obligations pour l'IA à haut risque
Les fournisseurs de systèmes IA à haut risque sont soumis à un ensemble d'exigences techniques et de gouvernance avant toute mise sur le marché ou mise en service. Ces obligations s'appliquent pleinement depuis le 2 août 2026 pour les systèmes listés à l'Annexe III.
- Système de gestion des risques Processus continu d'identification, d'analyse et de mitigation des risques liés au système IA tout au long de son cycle de vie — documentation obligatoire.
- Système de gestion de la qualité des données Les données d'entraînement, de validation et de test doivent répondre à des critères de pertinence, représentativité, exhaustivité et absence de biais suffisant pour l'usage prévu.
- Documentation technique Documentation complète sur la conception du système, les données utilisées, les performances, les limites, les mesures de sécurité et les résultats des évaluations — à tenir à disposition des autorités.
- Journalisation automatique (logging) Capacité de journalisation automatique des événements pendant le fonctionnement du système IA, permettant la traçabilité des décisions et la détection d'anomalies.
- Transparence envers les déployeurs Instructions d'utilisation claires destinées aux déployeurs, incluant les capacités et limites du système, les données sur lesquelles il a été entraîné, et les mesures de surveillance à mettre en place.
- Surveillance humaine (human oversight) Conception permettant à des personnes physiques de surveiller, d'intervenir, d'interrompre ou de corriger les sorties du système IA — mécanismes d'arrêt d'urgence inclus.
- Exactitude, robustesse et cybersécurité Le système doit atteindre les niveaux d'exactitude appropriés, être robuste aux erreurs et aux tentatives de manipulation, et résister aux attaques ciblant son intégrité.
- Évaluation de conformité et marquage CE Procédure d'évaluation de la conformité (auto-évaluation ou par organisme notifié selon le type de système), déclaration UE de conformité et apposition du marquage CE.
- Enregistrement dans la base de données UE Enregistrement du système IA à haut risque dans la base de données publique de l'UE (gérée par la Commission européenne) avant sa mise sur le marché.
- Surveillance post-commercialisation et signalement des incidents graves Plan de surveillance post-commercialisation actif ; signalement obligatoire des incidents graves ou des dysfonctionnements aux autorités nationales compétentes.
Obligations des déployeurs d'IA à haut risque
Les organisations qui déploient (sans développer) des systèmes IA à haut risque ont également des obligations propres : utiliser le système conformément aux instructions du fournisseur, désigner un responsable de la surveillance humaine, réaliser une analyse d'impact sur les droits fondamentaux (FRIA) pour certaines catégories, et conserver les journaux de fonctionnement pendant au minimum six mois.
6. Amendes et sanctions
L'AI Act prévoit un régime de sanctions à trois niveaux, progressif selon la gravité de la violation. En France, l'autorité compétente pour la supervision et les sanctions sera désignée par le gouvernement français (potentiellement la CNIL pour certains aspects, en coordination avec d'autres autorités sectorielles).
| Violation | Amende maximale |
|---|---|
| Pratiques IA interdites (Art. 5) | 35 000 000 EUR ou 7 % du chiffre d'affaires mondial annuel — le montant le plus élevé étant retenu |
| Non-conformité aux exigences IA à haut risque | 15 000 000 EUR ou 3 % du chiffre d'affaires mondial annuel — le montant le plus élevé étant retenu |
| Informations incorrectes, incomplètes ou trompeuses aux autorités | 7 500 000 EUR ou 1,5 % du chiffre d'affaires mondial annuel — le montant le plus élevé étant retenu |
En complément des amendes, les autorités peuvent prononcer :
- Retrait du marché — interdiction de mise sur le marché ou retrait d'un système IA non conforme
- Publication des décisions de sanction — atteinte à la réputation de l'organisation
- Accès aux locaux et aux données — pouvoirs d'inspection renforcés des autorités nationales
7. Par où commencer
La conformité à l'AI Act nécessite une approche structurée. Voici les cinq étapes fondamentales pour toute organisation utilisant ou développant des systèmes IA en France.
Identifier tous vos systèmes IA
Réalisez un inventaire exhaustif de tous les systèmes IA utilisés dans votre organisation — y compris les outils SaaS tiers intégrant de l'IA, les modèles maison et les API d'IA. Incluez les systèmes en cours de développement. Un système ignoré est un risque non géré.
Classer chaque système par niveau de risque
Pour chaque système identifié, déterminez son niveau de risque selon le règlement IA : interdit, haut risque (Annexe III ou Annexe I), risque limité ou minimal. Documentez la classification et son raisonnement. Utilisez aiact.saaslab.pl pour guider la classification.
Évaluer la conformité actuelle
Pour les systèmes à haut risque, évaluez l'écart entre l'état actuel et les 10 exigences obligatoires. Pour les systèmes à risque limité, vérifiez que les obligations de transparence (signalement comme IA, étiquetage des deepfakes) sont respectées.
Mettre en œuvre les mesures requises
Priorisez les systèmes à haut risque déjà déployés (application depuis août 2026). Mettez en place le système de gestion des risques, la documentation technique, la journalisation et les mécanismes de surveillance humaine. Pour les pratiques interdites déjà en production : cessation immédiate.
Surveiller en continu
La conformité AI Act n'est pas un projet ponctuel. Mettez en place un processus de surveillance post-commercialisation, de signalement des incidents, de révision périodique des classifications lors de changements d'usage, et de veille réglementaire sur les actes d'exécution de la Commission européenne.
Classifiez vos systèmes IA — gratuitement en 10 minutes
L'outil aiact.saaslab.pl vous aide à identifier le niveau de risque de vos systèmes IA et à déterminer vos obligations concrètes.
Classifier mon système IA →Sans inscription. Accès de base gratuit.