EU AI Act : guide complet du reglement europeen sur l’intelligence artificielle

Le reglement (UE) 2024/1689, dit EU AI Act, constitue le premier cadre juridique global au monde consacre a la reglementation de l’intelligence artificielle. Adopte le 13 juin 2024 et publie au Journal officiel de l’Union europeenne le 12 juillet 2024, ce texte instaure un systeme de conformite fonde sur une approche graduee du risque. Pour les entreprises developpant ou deployant des systemes d’IA en Europe, la comprehension de ce reglement est desormais une necessite operationnelle.

Ce guide propose une analyse exhaustive du EU AI Act : architecture normative, classification des risques, obligations specifiques, calendrier d’application et regime de sanctions.

Qu’est-ce que le EU AI Act ?

Le EU AI Act est un reglement europeen d’application directe dans les 27 Etats membres. Contrairement a une directive, il ne necessite pas de transposition en droit national et s’applique de maniere uniforme sur l’ensemble du territoire de l’Union.

Le texte poursuit un double objectif : d’une part, garantir que les systemes d’IA mis sur le marche europeen respectent les droits fondamentaux, la securite et les principes ethiques ; d’autre part, favoriser l’innovation en offrant un cadre juridique previsible aux acteurs economiques.

Le champ d’application du reglement est large. Il couvre les fournisseurs de systemes d’IA qui mettent sur le marche ou mettent en service des systemes d’IA dans l’Union, qu’ils soient etablis dans l’UE ou dans un pays tiers. Il vise egalement les deployeurs (utilisateurs professionnels) de systemes d’IA etablis dans l’Union, ainsi que les fournisseurs et deployeurs etablis hors de l’UE lorsque les resultats produits par le systeme d’IA sont utilises dans l’Union.

La definition du systeme d’IA retenue par le reglement est alignee sur celle de l’OCDE : un systeme fonde sur une machine, concu pour fonctionner avec des niveaux d’autonomie variables, qui peut presenter une capacite d’adaptation apres son deploiement et qui, a partir des entrees qu’il recoit, genere des resultats tels que des predictions, des contenus, des recommandations ou des decisions pouvant influencer des environnements physiques ou virtuels.

L’approche fondee sur le risque : 4 niveaux

L’architecture normative du EU AI Act repose sur une classification en quatre niveaux de risque. Chaque niveau determine un regime d’obligations proportionnel a la gravite des atteintes potentielles.

Risque inacceptable (pratiques interdites)

Le premier niveau correspond aux pratiques d’IA purement et simplement interdites car jugees contraires aux valeurs fondamentales de l’Union. L’article 5 du reglement dresse une liste exhaustive de ces pratiques prohibees :

• Les systemes de manipulation subliminale utilisant des techniques subconscientes pour alterer le comportement d’une personne d’une maniere qui cause ou est susceptible de causer un prejudice significatif
• Les systemes exploitant les vulnerabilites liees a l’age, au handicap ou a la situation socio-economique
• Les systemes de notation sociale (social scoring) par les autorites publiques ou pour leur compte
• L’utilisation de systemes d’identification biometrique a distance en temps reel dans les espaces publics a des fins repressives (sauf exceptions strictement encadrees)
• Les systemes de categorisation biometrique fondee sur des caracteristiques sensibles (race, opinions politiques, orientation sexuelle)
• Le moissonnage non cible d’images faciales sur internet ou via la videosurveillance pour alimenter des bases de donnees de reconnaissance faciale
• Les systemes de reconnaissance des emotions sur le lieu de travail et dans les etablissements d’enseignement (sauf raisons medicales ou de securite)
• Les systemes de police predictive fondes uniquement sur le profilage ou l’evaluation de traits de personnalite

Haut risque

Le deuxieme niveau concerne les systemes d’IA a haut risque, soumis a un ensemble d’obligations renforcees avant leur mise sur le marche. Deux categories de systemes sont visees :

Premiere categorie : les systemes d’IA constituant un composant de securite d’un produit couvert par la legislation d’harmonisation de l’Union listee a l’annexe I (dispositifs medicaux, machines, jouets, equipements radio, aviation civile, vehicules a moteur, etc.), lorsque ces systemes doivent faire l’objet d’une evaluation de conformite par un tiers.

Deuxieme categorie : les systemes d’IA enumeres a l’annexe III du reglement, couvrant huit domaines :

1. Identification biometrique et categorisation des personnes physiques
2. Gestion et exploitation d’infrastructures critiques
3. Education et formation professionnelle (acces, evaluation, surveillance des examens)
4. Emploi et gestion des travailleurs (recrutement, promotion, licenciement)
5. Acces aux services essentiels et prestations publiques (credit, assurance, services d’urgence)
6. Repression (evaluation de risque individuel, polygraphes, profilage)
7. Migration, asile et controle aux frontieres (evaluation de risque, verification de documents)
8. Administration de la justice et processus democratiques

Pour une analyse detaillee de chaque niveau, consultez notre guide sur la classification des risques IA.

Risque limite (obligations de transparence)

Le troisieme niveau vise les systemes d’IA presentant un risque limite, soumis a des obligations de transparence specifiques. Sont concernes :

• Les systemes d’IA interagissant avec des personnes physiques (chatbots) : obligation d’informer l’utilisateur qu’il interagit avec une IA
• Les systemes de reconnaissance des emotions ou de categorisation biometrique : obligation d’informer les personnes exposees
• Les systemes generant des contenus synthetiques (deepfakes) : obligation de signaler que le contenu a ete genere ou manipule artificiellement
• Les systemes generant du texte destine a informer le public : obligation de signaler le caractere genere artificiellement du texte

Risque minimal

Le quatrieme niveau englobe tous les autres systemes d’IA ne relevant pas des categories precedentes. Ces systemes peuvent etre mis sur le marche sans obligation specifique au titre du AI Act, sous reserve du respect des autres reglementations applicables. Le reglement encourage neanmoins l’adoption volontaire de codes de conduite.

Obligations relatives aux systemes a haut risque

Les fournisseurs de systemes d’IA a haut risque sont soumis a un ensemble d’obligations substantielles avant et apres la mise sur le marche.

Systeme de gestion des risques

Un systeme de gestion des risques doit etre mis en place et maintenu tout au long du cycle de vie du systeme. Ce systeme doit identifier et analyser les risques connus et raisonnablement previsibles, estimer et evaluer les risques susceptibles de se materialiser, et adopter des mesures de gestion appropriees.

Gouvernance des donnees

Les jeux de donnees d’entrainement, de validation et de test doivent respecter des criteres de qualite stricts : pertinence, representativite, absence d’erreurs, completude. Les biais potentiels doivent etre identifies et, dans la mesure du possible, corriges. Le reglement impose egalement des regles specifiques concernant l’utilisation de donnees personnelles pour la detection et la correction des biais.

Documentation technique et transparence

Le fournisseur doit etablir une documentation technique detaillee demontrant la conformite du systeme avant sa mise sur le marche. Le systeme doit etre concu de maniere suffisamment transparente pour permettre aux deployeurs d’interpreter les resultats et de les utiliser de maniere appropriee. Une notice d’utilisation claire et accessible doit accompagner le systeme.

Controle humain

Les systemes a haut risque doivent etre concus pour permettre un controle humain effectif pendant leur utilisation. Les personnes chargees du controle doivent etre en mesure de comprendre les capacites et limites du systeme, de surveiller son fonctionnement, d’interpreter correctement ses resultats et de decider de ne pas utiliser le systeme ou d’ignorer, invalider ou inverser ses resultats.

Exactitude, robustesse et cybersecurite

Le systeme doit atteindre des niveaux d’exactitude, de robustesse et de cybersecurite appropries, declares dans la documentation technique et la notice d’utilisation.

Systeme de gestion de la qualite

Les fournisseurs doivent mettre en place un systeme de gestion de la qualite garantissant le respect de l’ensemble des exigences du reglement, couvrant notamment la strategie de conformite, les techniques de conception et de developpement, les systemes et procedures de gestion des donnees, ainsi que les mecanismes de surveillance post-commercialisation.

Obligations relatives aux modeles d’IA a usage general (GPAI)

Le EU AI Act introduit un regime specifique pour les modeles d’IA a usage general (General-Purpose AI Models ou GPAI), tels que GPT-4, Gemini, Claude ou Llama. Ce regime distingue deux sous-categories.

Obligations de base pour tous les modeles GPAI

Tous les fournisseurs de modeles GPAI doivent :

• Etablir et maintenir a jour une documentation technique du modele, incluant le processus d’entrainement et de test, ainsi que les resultats de l’evaluation
• Fournir des informations et une documentation aux fournisseurs en aval qui integrent le modele dans leurs systemes d’IA
• Mettre en place une politique de respect du droit d’auteur, notamment au regard de la directive (UE) 2019/790
• Publier un resume suffisamment detaille des donnees d’entrainement utilisees

Obligations supplementaires pour les modeles a risque systemique

Les modeles GPAI presentant un risque systemique – c’est-a-dire ceux disposant de capacites a fort impact, presumes tels lorsque la puissance de calcul cumulee pour l’entrainement depasse 10^25 FLOPS – sont soumis a des obligations supplementaires :

• Realiser des evaluations de modeles, y compris des tests contradictoires (red-teaming)
• Evaluer et attenuer les risques systemiques possibles
• Assurer un suivi, documenter et signaler sans retard injustifie au Bureau de l’IA et aux autorites nationales competentes les incidents graves
• Garantir un niveau adequat de cybersecurite du modele

Calendrier d’application

Le EU AI Act entre en application de maniere echelonnee :

Date	Entree en vigueur
1er aout 2024	Entree en vigueur du reglement
2 fevrier 2025	Interdiction des pratiques d’IA a risque inacceptable (article 5) et obligations de maitrise de l’IA (article 4)
2 aout 2025	Obligations relatives aux modeles GPAI (chapitre V), designation des autorites nationales, sanctions pour les GPAI
2 aout 2026	Application integrale : systemes a haut risque de l’annexe III, obligations de transparence, toutes les sanctions
2 aout 2027	Systemes a haut risque de l’annexe I (produits couverts par la legislation d’harmonisation)

Ce calendrier progressif laisse aux acteurs economiques le temps de se preparer, mais les premieres echeances sont deja depassees pour les pratiques interdites et proches pour les obligations GPAI.

Regime de sanctions

Le EU AI Act instaure un regime de sanctions administratives dissuasif, structure en trois paliers :

• Pratiques interdites (article 5) : amendes pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial total de l’exercice precedent, le montant le plus eleve etant retenu
• Non-respect des autres obligations du reglement : amendes pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial
• Fourniture d’informations inexactes, incompletes ou trompeuses aux autorites : amendes pouvant atteindre 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial

Pour les PME et les start-ups, les amendes sont plafonnees au montant le plus faible entre le pourcentage et le montant fixe. Les institutions et agences de l’Union sont soumises a la competence du Controleur europeen de la protection des donnees, avec les memes plafonds.

Articulation avec le RGPD

Le EU AI Act ne se substitue pas au Reglement general sur la protection des donnees (RGPD). Les deux textes s’appliquent de maniere complementaire. Lorsqu’un systeme d’IA traite des donnees personnelles, les obligations du RGPD s’imposent integralement et cumulativement avec celles du AI Act.

Cette articulation est particulierement importante dans plusieurs domaines :

• Base legale du traitement : le developpement et le deploiement d’un systeme d’IA traitant des donnees personnelles necessitent une base legale au titre de l’article 6 du RGPD
• Analyse d’impact relative a la protection des donnees (AIPD) : les systemes d’IA a haut risque traitant des donnees personnelles declenchent systematiquement l’obligation de realiser une AIPD au titre de l’article 35 du RGPD
• Droits des personnes concernees : les droits d’acces, de rectification, d’effacement et d’opposition s’appliquent pleinement aux traitements realises par des systemes d’IA
• Decisions automatisees : l’article 22 du RGPD impose des garanties specifiques pour les decisions fondees exclusivement sur un traitement automatise

Pour une analyse approfondie de cette articulation, consultez notre guide IA et RGPD. Si votre organisation doit realiser un audit RGPD, l’integration des systemes d’IA dans le perimetre d’audit est desormais indispensable.

Le reglement s’inscrit egalement dans un ecosysteme reglementaire plus large, en interaction avec d’autres textes recents comme le Cyber Resilience Act pour les aspects de cybersecurite des produits connectes integrant de l’IA.

Gouvernance : le Bureau de l’IA et les autorites nationales

Le EU AI Act met en place une architecture de gouvernance a plusieurs niveaux.

Le Bureau europeen de l’IA (AI Office)

Cree au sein de la Commission europeenne, le Bureau de l’IA est charge de la supervision des modeles GPAI, de l’elaboration de lignes directrices et de bonnes pratiques, de la coordination avec les autorites nationales, et de la cooperation internationale. Il dispose de pouvoirs d’enquete et de sanction specifiques pour les modeles GPAI.

Le Comite europeen de l’intelligence artificielle (AI Board)

Compose de representants des Etats membres, le Comite conseille et assiste la Commission et les Etats membres pour faciliter l’application coherente du reglement.

Les autorites nationales competentes

Chaque Etat membre doit designer au moins une autorite de notification et une autorite de surveillance du marche. En France, les roles respectifs de la CNIL, de la DGCCRF et d’autres autorites sectorielles restent a preciser definitivement. La CNIL a deja affirme sa vocation a jouer un role central dans la supervision des systemes d’IA traitant des donnees personnelles.

Le forum consultatif et le groupe scientifique

Un forum consultatif rassemblant les parties prenantes (industrie, societe civile, monde academique) et un groupe scientifique d’experts independants completent le dispositif de gouvernance.

Comment se preparer a la conformite EU AI Act

La conformite au EU AI Act requiert une demarche structuree et anticipee. Voici les etapes essentielles :

1. Inventaire des systemes d’IA – Recenser l’ensemble des systemes d’IA developpes, deployes ou utilises au sein de l’organisation. Pour chaque systeme, determiner le role de l’organisation (fournisseur, deployeur, importateur, distributeur).

2. Classification des risques – Determiner le niveau de risque de chaque systeme identifie en appliquant les criteres du reglement. Cette classification conditionne l’ensemble des obligations applicables.

3. Analyse d’ecart (gap analysis) – Evaluer la conformite actuelle de chaque systeme par rapport aux exigences applicables. Identifier les actions correctives necessaires.

4. Mise en conformite – Mettre en oeuvre les mesures techniques et organisationnelles requises : documentation technique, systeme de gestion des risques, gouvernance des donnees, mecanismes de controle humain, tests de robustesse et de cybersecurite.

5. Evaluation de conformite – Pour les systemes a haut risque, realiser l’evaluation de conformite selon la procedure applicable (auto-evaluation ou evaluation par un organisme notifie selon les cas).

6. Surveillance post-commercialisation – Mettre en place un systeme de surveillance continue et de signalement des incidents.

Des plateformes de gestion de la conformite comme Legiscope permettent de structurer cette demarche en automatisant le suivi des obligations reglementaires, la documentation et le pilotage des plans d’action, tant pour le RGPD que pour le AI Act.

Conclusion

Le EU AI Act represente un changement de paradigme dans la reglementation de l’intelligence artificielle. Son approche fondee sur le risque impose des obligations proportionnees mais substantielles, en particulier pour les systemes a haut risque et les modeles d’IA a usage general. Les premieres echeances etant deja effectives, les organisations n’ont plus le luxe de l’attentisme. La conformite au AI Act doit etre integree des maintenant dans la strategie de gouvernance de l’IA, en synergie avec les obligations existantes au titre du RGPD et des autres reglementations europeennes.

FAQ

Comment savoir si mon systeme d’IA est a haut risque ?

Un systeme d’IA est a haut risque s’il constitue un composant de securite d’un produit couvert par la legislation d’harmonisation de l’UE, ou s’il releve de l’un des huit domaines de l’annexe III (biometrie, infrastructures critiques, education, emploi, services essentiels, repression, migration, justice). L’inventaire et la classification de vos systemes d’IA sont la premiere etape vers la conformite.

Le AI Act s’applique-t-il aux entreprises situees hors de l’UE ?

Oui, le AI Act a une portee extraterritoriale. Il s’applique aux fournisseurs de systemes d’IA mis sur le marche ou en service dans l’Union, quel que soit leur lieu d’etablissement, ainsi qu’aux deployeurs etablis hors de l’UE lorsque les resultats du systeme sont utilises dans l’Union. Le mecanisme est similaire a celui du RGPD.

Quelles sont les sanctions prevues par le AI Act ?

Les amendes varient selon la gravite : jusqu’a 35 millions d’euros ou 7% du CA mondial pour les pratiques interdites, 15 millions ou 3% pour les autres obligations, et 7,5 millions ou 1% pour la fourniture d’informations inexactes. Les PME et start-ups beneficient d’un plafonnement specifique. En savoir plus sur l’articulation avec le RGPD.

Comment le AI Act s’articule-t-il avec le RGPD ?

Les deux textes s’appliquent de maniere cumulative lorsqu’un systeme d’IA traite des donnees personnelles. Le RGPD impose ses propres exigences (base legale, AIPD, droits des personnes, article 22 sur les decisions automatisees) qui s’ajoutent aux obligations du AI Act. Un audit RGPD integrant les systemes d’IA est desormais indispensable.

Quand les obligations du AI Act entrent-elles en vigueur ?

Le calendrier est progressif : les pratiques interdites sont sanctionnables depuis fevrier 2025, les obligations sur les modeles GPAI s’appliquent depuis aout 2025, et l’application integrale pour les systemes a haut risque de l’annexe III est prevue pour aout 2026. Les produits de l’annexe I suivront en aout 2027.