Qu'est-ce que le Règlement européen sur l'IA ?
Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil — communément appelé EU AI Act ou Règlement sur l'Intelligence Artificielle (RIA) — est la première législation au monde encadrant de manière globale l'utilisation de l'intelligence artificielle. Entré en vigueur le 1er août 2024, ses obligations s'appliquent progressivement, avec des échéances clés en 2025, 2026 et 2027.
Le Règlement a une portée mondiale : il concerne toute entreprise qui utilise des systèmes d'IA sur le territoire de l'UE ou dont les systèmes d'IA produisent des résultats utilisés dans l'UE. Peu importe la localisation du siège social ou la taille de l'organisation.
Le Règlement IA repose sur une approche fondée sur les risques : plus le risque qu'un système d'IA représente pour la santé, la sécurité ou les droits fondamentaux est élevé, plus les exigences sont strictes. Certaines pratiques sont totalement interdites. Les systèmes à haut risque sont soumis à l'ensemble des obligations. Les systèmes à risque limité nécessitent de la transparence. Les systèmes à risque minimal ne font l'objet d'aucune exigence spécifique.
Pour la majorité des entreprises, la distinction essentielle est celle entre fournisseur (provider) et déployeur (deployer). Le fournisseur développe le système d'IA. Le déployeur l'utilise dans un contexte professionnel. Si votre entreprise utilise des outils d'IA — ChatGPT, des outils RH avec IA, du scoring crédit, des chatbots — vous êtes déployeur. Et vous avez des obligations précises.
Calendrier et Échéances du Règlement IA
Le Règlement entre en application par étapes. Certaines obligations sont déjà en vigueur.
1er août 2024
Entrée en vigueur
Règlement publié au Journal officiel de l'UE et formellement en vigueur.
2 février 2025
Pratiques interdites + AI Literacy
Art. 5 (pratiques IA interdites) et Art. 4 (obligation de formation aux compétences IA) entrent en application. DÉJÀ EN VIGUEUR.
2 août 2025
Modèles GPAI + Gouvernance
Obligations pour les fournisseurs de modèles d'IA à usage général (GPAI). Désignation des autorités de surveillance par les États membres.
2 août 2026
Systèmes à haut risque (Annexe III)
ÉCHÉANCE PRINCIPALE. Toutes les obligations relatives aux systèmes IA à haut risque de l'Annexe III entrent en application : évaluations des risques, FRIA, DPIA, notices de transparence, supervision humaine, rétention des logs, notification des travailleurs.
2 août 2027
Systèmes à haut risque (Annexe I)
Obligations pour les systèmes IA intégrés dans des produits couverts par la législation d'harmonisation européenne existante (dispositifs médicaux, machines, jouets, etc.).
2 août 2030
Conformité totale des systèmes existants
Les systèmes d'IA mis sur le marché avant août 2026 doivent atteindre la conformité complète.
Classification des Risques dans le Règlement IA
Le Règlement IA classe les systèmes d'IA en quatre niveaux de risque. Cette classification détermine les obligations qui vous concernent.
Systèmes totalement interdits. Ils constituent une menace directe pour la sécurité, les droits fondamentaux et les valeurs de l'UE.
Jusqu'à 35 M€ ou 7 % du CA mondial annuel
Manipulation subliminale, notation sociale par les gouvernements, identification biométrique en temps réel dans l'espace public
Systèmes ayant un impact significatif sur la santé, la sécurité ou les droits fondamentaux. Soumis à l'ensemble des exigences de conformité.
Jusqu'à 15 M€ ou 3 % du CA mondial annuel
Tri de CV et recrutement par IA, scoring crédit, évaluation des risques en assurance, suivi de la performance des employés, systèmes biométriques
Systèmes soumis à des obligations de transparence. Les utilisateurs doivent savoir qu'ils interagissent avec une IA.
Jusqu'à 7,5 M€ ou 1 % du CA mondial annuel
Chatbots de service client, générateurs de contenu, systèmes de reconnaissance d'émotions (avec exceptions)
Aucune obligation spécifique au titre du Règlement. Représente la très grande majorité des systèmes d'IA actuellement utilisés dans l'UE.
Aucune
Filtres anti-spam, jeux utilisant l'IA, systèmes de recommandation de produits, outils de planification d'itinéraires
Pratiques IA Interdites (Art. 5)
Huit catégories de pratiques IA sont totalement interdites. Elles sont applicables depuis le 2 février 2025 — ce sont les sanctions les plus élevées de l'ensemble du Règlement.
- 1
Manipulation subliminale
Systèmes d'IA utilisant des techniques subliminales contournant la conscience de la personne, provoquant des comportements pouvant causer un préjudice significatif.
- 2
Exploitation de vulnérabilités
Systèmes d'IA exploitant les vulnérabilités liées à l'âge, au handicap ou à la situation socio-économique pour influencer significativement le comportement d'une personne.
- 3
Notation sociale
Évaluation ou classification de personnes par des autorités publiques sur la base de comportements sociaux, conduisant à un traitement défavorable dans des contextes non liés.
- 4
Police prédictive individuelle
Systèmes d'IA évaluant le risque qu'une personne commette une infraction uniquement sur la base du profilage ou de traits de personnalité, sans faits objectifs et vérifiables.
- 5
Moissonnage non ciblé de visages
Création ou extension de bases de données de reconnaissance faciale par collecte massive d'images sur internet ou via des systèmes de vidéosurveillance sans consentement.
- 6
Reconnaissance d'émotions au travail et en éducation
Systèmes d'IA de reconnaissance d'émotions sur le lieu de travail et dans les établissements d'enseignement, avec des exceptions étroites pour la sécurité et les fins médicales.
- 7
Catégorisation biométrique par caractéristiques sensibles
Systèmes d'IA catégorisant des personnes à partir de données biométriques pour inférer la race, les opinions politiques, l'appartenance syndicale, les convictions religieuses ou l'orientation sexuelle.
- 8
Identification biométrique à distance en temps réel
Utilisation dans les espaces publics à des fins répressives, avec des exceptions étroites pour les personnes disparues, les menaces imminentes et les infractions graves.
Suis-je un Déployeur au Sens du Règlement IA ?
Un déployeur est toute personne physique ou morale, autorité publique, agence ou autre organisme utilisant un système d'IA sous sa propre autorité — sauf lorsque le système d'IA est utilisé dans le cadre d'une activité personnelle non professionnelle.
Si votre entreprise utilise des outils d'IA dans ses activités professionnelles, vous êtes presque certainement un déployeur. Cela inclut l'utilisation de services tiers : si votre service RH utilise un outil de tri de CV par IA, si votre service financier utilise l'IA pour l'évaluation de crédit, ou si votre service client fait fonctionner un chatbot IA — l'entreprise est déployeur pour chacun de ces systèmes.
Cette distinction est cruciale car les déployeurs ont leur propre ensemble d'obligations en vertu de l'Art. 26, distinctes de celles des fournisseurs (providers). Le déployeur n'a pas besoin de construire le système — il doit l'utiliser correctement, le surveiller et documenter sa conformité.
Important : un déployeur peut devenir fournisseur s'il (a) appose sa propre marque sur un système IA à haut risque, (b) le modifie substantiellement, ou (c) en modifie la finalité de telle sorte qu'il devienne un système à haut risque. Le fine-tuning, le RAG ou une personnalisation significative peuvent déclencher cette requalification.
Obligations du Déployeur — Ce Que Vous Devez Faire
Les obligations du déployeur dépendent du niveau de risque des systèmes d'IA utilisés. Voici un récapitulatif de ce qui est déjà en vigueur et de ce qui entre en application en août 2026.
Déjà en vigueur (depuis février 2025)
Compétences IA (AI Literacy)
S'assurer que l'ensemble des collaborateurs et personnes opérant des systèmes d'IA pour le compte de l'entreprise disposent d'un niveau suffisant de compétences en matière d'IA. Nécessite une formation documentée — pas de certification, mais une preuve de réalisation.
Vérification des pratiques interdites
Vérifier qu'aucun des systèmes d'IA utilisés ne met en œuvre des pratiques interdites au titre de l'Art. 5. Concerne toute entreprise, quel que soit le niveau de risque.
À partir d'août 2026 (systèmes à haut risque)
Utilisation conforme aux instructions
Utiliser le système d'IA conformément aux instructions fournies par le fournisseur. Comprend les mesures techniques et organisationnelles appropriées.
Supervision humaine
Désigner des personnes disposant des compétences, de la formation et de l'autorité nécessaires pour superviser les systèmes d'IA. Ces personnes doivent avoir la capacité documentée d'intervenir.
Surveillance et revues périodiques
Surveiller régulièrement le fonctionnement du système d'IA pour détecter les risques, anomalies, dysfonctionnements et comportements inattendus.
Rétention des logs
Enregistrement automatique des opérations des systèmes d'IA à haut risque et conservation des logs pendant un minimum de 6 mois.
Notification des travailleurs
Informer les travailleurs et leurs représentants avant la mise en service d'un système d'IA à haut risque sur le lieu de travail.
Information des personnes concernées
Informer les personnes physiques faisant l'objet de décisions prises à l'aide d'un système d'IA à haut risque de l'utilisation de ce système.
Évaluation d'impact sur les droits fondamentaux (FRIA)
Réaliser une évaluation d'impact sur les droits fondamentaux avant le déploiement d'un système d'IA à haut risque de l'Annexe III. Obligatoire pour les organismes publics et les entités privées dans certains secteurs.
Signalement des incidents graves
Notifier sans délai le fournisseur et les autorités de surveillance du marché en cas d'incident grave menaçant la santé, la sécurité ou les droits fondamentaux.
Analyse d'impact relative à la protection des données (DPIA)
Réaliser une DPIA pour le traitement de données personnelles par des systèmes d'IA susceptibles de présenter un risque élevé pour les droits et libertés des personnes physiques. Exigence du RGPD, complémentaire de la FRIA.
FRIA : Qui Doit la Réaliser ?
La Fundamental Rights Impact Assessment (FRIA) est une évaluation de l'impact d'un système d'IA sur les droits fondamentaux. Exigée par l'Art. 27 avant le déploiement de tout système d'IA à haut risque de l'Annexe III.
Organismes publics
Toute autorité publique déployant des systèmes d'IA à haut risque de l'Annexe III — sans exception.
Scoring crédit et BNPL
Entités privées utilisant l'IA pour évaluer la solvabilité des personnes physiques ou établir leur notation de crédit.
Assurance
Entités privées utilisant l'IA pour l'évaluation des risques et la tarification en assurance-vie et assurance-maladie. En France, sous la supervision de l'ACPR.
Autres secteurs de l'Annexe III
Autres cas d'usage à haut risque de l'Annexe III, lorsque l'autorité de surveillance l'exige ou que le droit national le prévoit.
La FRIA et la DPIA sont des documents distincts mais complémentaires. La DPIA (RGPD Art. 35) se concentre sur les risques pour la protection des données personnelles. La FRIA (Art. 27) évalue l'impact plus large sur les droits fondamentaux — discrimination, liberté d'expression, accès à la justice. Les données de l'une peuvent alimenter l'autre.
Obligations de Transparence et Notices d'Information
L'Art. 50 impose des obligations de transparence pour certains systèmes d'IA, indépendamment du niveau de risque :
Chatbots et systèmes d'interaction : les utilisateurs doivent être informés qu'ils interagissent avec un système d'IA (sauf si c'est évident selon le contexte).
Deepfakes et contenus synthétiques : les contenus générés ou manipulés par l'IA doivent être étiquetés. En France, l'ARCOM est compétente pour les contenus audiovisuels et les textes générés dans un but d'information.
Systèmes de reconnaissance d'émotions et de catégorisation biométrique : les personnes concernées doivent être informées du fonctionnement du système. En France, cette supervision relève de la CNIL.
Systèmes d'IA à haut risque prenant des décisions concernant des personnes : ces personnes doivent savoir que la décision a été prise avec l'aide d'un système d'IA (Art. 26(11)).
L'Art. 26(7) exige par ailleurs la notification des travailleurs et de leurs représentants AVANT la mise en service d'un système d'IA à haut risque sur le lieu de travail. C'est une obligation distincte des notices de transparence générales.
AI and Shine génère trois types de notices : notices d'interaction (chatbots), notices décisionnelles (systèmes prenant des décisions concernant des personnes) et notices générales.
Supervision Humaine des Systèmes d'IA
L'Art. 26(2) exige que les déployeurs de systèmes d'IA à haut risque désignent des personnes chargées de la supervision, disposant des compétences, de la formation et de l'autorité nécessaires.
- Désigner des personnes spécifiques responsables de la supervision de chaque système d'IA à haut risque
- Documenter les compétences de ces personnes — compréhension du système, capacité à interpréter les résultats
- Autorité formelle d'intervention — possibilité de modifier, suspendre ou arrêter le système
- Formations régulières des personnes en charge de la supervision sur le fonctionnement et les limites du système
- Preuve auditable de la supervision — il ne suffit pas d'inscrire un nom, il faut documenter les actions effectives
Autorités de Surveillance du Marché
Chaque État membre de l'UE doit désigner des autorités de surveillance du marché (Market Surveillance Authorities) chargées de l'application du Règlement IA. Échéance de désignation : 2 août 2025.
En France : un modèle décentralisé
La France a opté pour un modèle de surveillance décentralisé, répartissant les responsabilités entre plusieurs autorités sectorielles :
Commission Nationale de l'Informatique et des Libertés
Biométrie, éducation, justice, enseignement — 15 cas d'usage
Autorité centrale pour les systèmes d'IA impliquant le traitement de données personnelles. Déjà active sur les sujets IA depuis 2024.
Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes
Coordination opérationnelle, pratiques interdites, produits de consommation — 14 cas d'usage
Point de contact unique pour la coordination des autorités de surveillance du marché en France.
Autorité de Régulation de la Communication Audiovisuelle et Numérique
Contenus audiovisuels, transparence des générateurs de texte — 7 cas d'usage
Supervision des systèmes d'IA qui génèrent ou manipulent des textes publiés dans un but d'information.
Autorité de Contrôle Prudentiel et de Résolution
Scoring crédit, assurance
Supervision des systèmes d'IA destinés à évaluer la solvabilité ou à tarifier les assurances vie et maladie.
Pôles techniques mutualisés
Expertise technique transversale
Support technique aux autorités pour les évaluations de conformité. Compétences mutualisées en IA et cybersécurité.
| Allemagne 🇩🇪 | BNetzA (Bundesnetzagentur) | designated |
| Espagne 🇪🇸 | AESIA | designated |
| Italie 🇮🇹 | AgID / Garante | designated |
| Pays-Bas 🇳🇱 | Algoritmetoezicht | designated |
| Irlande 🇮🇪 | 15 autorités + AI Office | designated |
| Pologne 🇵🇱 | En cours de désignation | pending |
Sanctions et Amendes
Le Règlement IA prévoit trois niveaux de sanctions administratives.
Tier 1 — Pratiques interdites
Jusqu'à 35 M€ ou 7 % du CA mondial annuel
Violation de l'Art. 5 — mise en œuvre de pratiques d'IA interdites
Tier 2 — Systèmes à haut risque
Jusqu'à 15 M€ ou 3 % du CA mondial annuel
Non-respect des exigences relatives aux systèmes d'IA à haut risque (documentation, supervision humaine, FRIA, surveillance, etc.)
Tier 3 — Informations inexactes
Jusqu'à 7,5 M€ ou 1 % du CA mondial annuel
Fourniture d'informations incorrectes, incomplètes ou trompeuses aux autorités
Ces sanctions peuvent sembler abstraites, mais elles ont des conséquences réelles. Pour une entreprise avec un chiffre d'affaires de 10 M€, les sanctions Tier 1 peuvent atteindre 700 000 € — une somme qui peut menacer la pérennité de l'activité. Pour les organisations plus importantes, les seuils en pourcentage deviennent encore plus significatifs.
Règlement IA et RGPD — Comment ils Fonctionnent Ensemble
Le Règlement IA ne remplace pas le RGPD. Les deux réglementations s'appliquent simultanément. La majorité des systèmes d'IA traitent des données personnelles, ce qui signifie qu'en pratique, les deux cadres réglementaires doivent être respectés.
| Aspect | DPIA (RGPD Art. 35) | FRIA (Art. 27 Règlement IA) |
|---|---|---|
| Objectif | Évaluation des risques pour la protection des données personnelles | Évaluation de l'impact sur les droits fondamentaux (perspective plus large) |
| Quand requis | Traitement susceptible d'engendrer un risque élevé pour les droits et libertés | Systèmes d'IA à haut risque de l'Annexe III |
| Qui réalise | Responsable de traitement (controller) | Déployeur du système d'IA |
| Périmètre | Données personnelles, sécurité, minimisation | Droits fondamentaux : non-discrimination, liberté d'expression, vie privée, accès à la justice |
| Base juridique | RGPD Art. 35 | Règlement IA Art. 27 |
| Complémentarité | Les données de la DPIA peuvent alimenter la FRIA | Les données de la FRIA peuvent alimenter la DPIA |
Les entreprises déjà conformes au RGPD disposent d'un avantage considérable : elles tiennent des registres de traitement (ROPA), ont des DPA avec leurs fournisseurs, réalisent des DPIA, et disposent d'un DPO. Ces mêmes processus et documents constituent le socle de la conformité au Règlement IA.
Par Où Commencer — 7 Étapes Pratiques
La conformité au Règlement IA est un processus continu, pas un projet ponctuel. Voici un parcours pratique pour les entreprises qui souhaitent démarrer maintenant.
Inventoriez tous vos outils intégrant de l'IA
Passez en revue l'ensemble des outils utilisés dans l'entreprise. Identifiez ceux qui intègrent des fonctionnalités d'IA. La plupart des entreprises découvrent 3 à 5 fois plus d'outils IA qu'elles ne le pensaient.
Classifiez le risque de chaque outil
Pour chaque outil d'IA, déterminez : comment il est utilisé (cas d'usage), s'il entre dans le champ de l'Annexe III, quel niveau de risque lui correspond. Rappel : c'est l'usage qui détermine la classification, pas l'outil.
Vérifiez les pratiques interdites (Art. 5)
Assurez-vous qu'aucun de vos cas d'usage ne met en œuvre des pratiques interdites au titre de l'Art. 5. C'est déjà en vigueur et passible des sanctions les plus élevées.
Réalisez la formation AI Literacy (Art. 4)
Organisez une formation documentée sur les compétences IA pour l'ensemble des collaborateurs. Pas besoin de certification — une formation interne avec feuille d'émargement suffit. Obligation en vigueur depuis février 2025.
Collectez et analysez les DPA de vos fournisseurs
Vérifiez les contrats de vos fournisseurs d'outils IA. Avez-vous des DPA en place ? Contiennent-ils les clauses exigées par le RGPD ? Sont-ils prêts pour les exigences du Règlement IA ? La plupart des fournisseurs n'ont pas encore mis à jour leurs contrats.
Préparez la documentation pour les outils à haut risque
Pour les outils à haut risque : évaluation des risques, FRIA (si requise), DPIA, notices de transparence, notification des travailleurs, désignation de la supervision humaine.
Mettez en place les processus de gouvernance
Instaurez des processus : validation de nouveaux outils, signalement d'incidents, revues périodiques, suivi de la rétention des logs. La conformité est un processus continu, pas un audit ponctuel.
Disclaimer: Ce guide est fourni à titre d'information uniquement et ne constitue pas un conseil juridique. Son contenu est fondé sur le Règlement (UE) 2024/1689 tel que publié au Journal officiel de l'Union européenne. Pour un conseil adapté à la situation spécifique de votre entreprise, consultez un avocat qualifié.