Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/AI Act/EU AI Act : guide complet du règlement européen sur l'intell...
AI Act

EU AI Act : guide complet du règlement européen sur l'intelligence artificielle

Le règlement européen sur l'IA (AI Act) impose un cadre de conformité fondé sur le risque. Guide complet : classification, obligations, calendrier et sanctions.

Par Thiébaut DevergrannePublie le 12 fevrier 2026Mis a jour le 12 fevrier 202615 min de lecture
Sommaire
  1. Qu’est-ce que le EU AI Act ?
  2. L’approche fondée sur le risque : 4 niveaux
  3. Obligations relatives aux systèmes à haut risque
  4. Obligations relatives aux modèles d’IA a usage général (GPAI)
  5. Calendrier d’application
  6. Régime de sanctions
  7. Articulation avec le RGPD
  8. Gouvernance : le Bureau de l’IA et les autorités nationales
  9. Comment se préparer à la conformité EU AI Act
  10. Conclusion
  11. FAQ

Le règlement (UE) 2024/1689, dit EU AI Act, constitue le premier cadre juridique global au monde consacré à la réglementation de l’intelligence artificielle. Adopté le 13 juin 2024 et publié au Journal officiel de l’Union européenne le 12 juillet 2024, ce texte instaure un système de conformité fondé sur une approche graduée du risque. Pour les entreprises développant ou déployant des systèmes d’IA en Europe, la compréhension de ce règlement est désormais une nécessité opérationnelle.

Ce guide proposé une analyse exhaustive du EU AI Act : architecture normative, classification des risques, obligations spécifiques, calendrier d’application et régime de sanctions.

Qu’est-ce que le EU AI Act ?

Le EU AI Act est un règlement européen d’application directe dans les 27 États membres. Contrairement à une directive, il ne nécessité pas de transposition en droit national et s’applique de manière uniforme sur l’ensemble du territoire de l’Union.

Le texte poursuit un double objectif : d’une part, garantir que les systèmes d’IA mis sur le marché européen respectent les droits fondamentaux, la sécurité et les principes éthiques ; d’autre part, favoriser l’innovation en offrant un cadre juridique prévisible aux acteurs économiques.

Le champ d’application du règlement est large. Il couvre les fournisseurs de systèmes d’IA qui mettent sur le marché ou mettent en service des systèmes d’IA dans l’Union, qu’ils soient établis dans l’UE ou dans un pays tiers. Il visé également les deployeurs (utilisateurs professionnels) de systèmes d’IA établis dans l’Union, ainsi que les fournisseurs et deployeurs établis hors de l’UE lorsque les résultats produits par le système d’IA sont utilisés dans l’Union.

La définition du système d’IA retenue par le règlement est alignée sur celle de l’OCDE : un système fondé sur une machine, conçu pour fonctionner avec des niveaux d’autonomie variables, qui peut présenter une capacité d’adaptation après son déploiement et qui, à partir des entrées qu’il reçoit, génère des résultats tels que des prédictions, des contenus, des recommandations ou des décisions pouvant influencer des environnements physiques ou virtuels.

L’approche fondée sur le risque : 4 niveaux

L’architecture normative du EU AI Act repose sur une classification en quatre niveaux de risque. Chaque niveau détermine un régime d’obligations proportionnel à la gravité des atteintes potentielles.

Risque inacceptable (pratiques interdites)

Le premier niveau correspond aux pratiques d’IA purement et simplement interdites car jugées contraires aux valeurs fondamentales de l’Union. L’article 5 du règlement dressé une liste exhaustive de ces pratiques prohibees :

  • Les systèmes de manipulation subliminale utilisant des techniques subconscientes pour altérer le comportement d’une personne d’une manière qui cause ou est susceptible de causer un préjudice significatif
  • Les systèmes exploitant les vulnérabilités liées à l’âge, au handicap ou à la situation socio-économique
  • Les systèmes de notation sociale (social scoring) par les autorités publiques ou pour leur compte
  • L’utilisation de systèmes d’identification biométrique à distance en temps réel dans les espaces publics à des fins repressives (sauf exceptions strictement encadrées) – voir notre analyse IA et vidéosurveillance
  • Les systèmes de categorisation biométrique fondée sur des caractéristiques sensibles (race, opinions politiques, orientation sexuelle)
  • Le moissonnage non ciblé d’images faciales sur internet ou via la vidéosurveillance pour alimenter des bases de données de reconnaissance faciale
  • Les systèmes de reconnaissance des emotions sur le lieu de travail et dans les établissements d’enseignement (sauf raisons médicales ou de sécurité)
  • Les systèmes de police prédictive fondés uniquement sur le profilage ou l’évaluation de traits de personnalité

Haut risque

Le deuxième niveau concerne les systèmes d’IA à haut risque, soumis à un ensemble d’obligations renforcées avant leur mise sur le marché. Deux catégories de systèmes sont visées :

Première catégorie : les systèmes d’IA constituant un composant de sécurité d’un produit couvert par la législation d’harmonisation de l’Union listée à l’annexe I (dispositifs médicaux, machines, jouets, équipements radio, aviation civile, véhicules a moteur, etc.), lorsque ces systèmes doivent faire l’objet d’une évaluation de conformité par un tiers.

Deuxieme catégorie : les systèmes d’IA énumérés à l’annexe III du règlement, couvrant huit domaines :

  1. Identification biométrique et categorisation des personnes physiques
  2. Gestion et exploitation d’infrastructures critiques
  3. Éducation et formation professionnelle (accès, évaluation, surveillance des examens)
  4. Emploi et gestion des travailleurs (recrutement, promotion, licenciement)
  5. Accès aux services essentiels et prestations publiques (crédit, assurance, services d’urgence)
  6. Répression (évaluation de risque individuel, polygraphes, profilage)
  7. Migration, asile et contrôle aux frontières (évaluation de risque, vérification de documents)
  8. Administration de la justice et processus democratiques

Pour une analyse détaillée de chaque niveau, consultez notre guide sur la classification des risques IA.

Risque limite (obligations de transparence)

Le troisième niveau vise les systèmes d’IA présentant un risque limite, soumis à des obligations de transparence spécifiques. Sont concernés :

  • Les systèmes d’IA interagissant avec des personnes physiques (chatbots) : obligation d’informer l’utilisateur qu’il interagit avec une IA
  • Les systèmes de reconnaissance des emotions ou de categorisation biométrique : obligation d’informer les personnes exposées
  • Les systèmes générant des contenus synthétiques (deepfakes) : obligation de signaler que le contenu a été généré ou manipule artificiellement
  • Les systèmes générant du texte destiné a informer le public : obligation de signaler le caractère génère artificiellement du texte

Risque minimal

Le quatrième niveau englobe tous les autres systèmes d’IA ne relevant pas des catégories précédentes. Ces systèmes peuvent être mis sur le marché sans obligation spécifique au titre du AI Act, sous reserve du respect des autres réglementations applicables. Le règlement encourage néanmoins l’adoption volontaire de codes de conduite.

Obligations relatives aux systèmes à haut risque

Les fournisseurs de systèmes d’IA à haut risque sont soumis à un ensemble d’obligations substantielles avant et après la mise sur le marché.

Système de gestion des risques

Un système de gestion des risques doit être mis en place et maintenu tout au long du cycle de vie du système. Ce système doit identifier et analyser les risques connus et raisonnablement previsibles, estimer et évaluer les risques susceptibles de se matérialiser, et adopter des mesures de gestion appropriées.

Gouvernance des données

Les jeux de données d’entraînement, de validation et de test doivent respecter des critères de qualité stricts : pertinence, representativite, absence d’erreurs, completude. Les biais potentiels doivent être identifiés et, dans la mesure du possible, corriges. Le règlement impose également des règles spécifiques concernant l’utilisation de données personnelles pour la détection et la correction des biais.

Documentation technique et transparence

Le fournisseur doit établir une documentation technique détaillée démontrant la conformité du système avant sa mise sur le marché. Le système doit être conçu de manière suffisamment transparente pour permettre aux deployeurs d’interpréter les résultats et de les utiliser de manière appropriée. Une notice d’utilisation claire et accessible doit accompagner le système.

Contrôle humain

Les systèmes à haut risque doivent être conçus pour permettre un contrôle humain effectif pendant leur utilisation. Les personnes chargées du contrôle doivent être en mesure de comprendre les capacités et limites du système, de surveiller son fonctionnement, d’interpréter correctement ses résultats et de décider de ne pas utiliser le système ou d’ignorer, invalider ou inverser ses résultats.

Exactitude, robustesse et cybersécurité

Le système doit atteindre des niveaux d’exactitude, de robustesse et de cybersécurité appropriés, déclarés dans la documentation technique et la notice d’utilisation.

Système de gestion de la qualité

Les fournisseurs doivent mettre en place un système de gestion de la qualité garantissant le respect de l’ensemble des exigences du règlement, couvrant notamment la stratégie de conformité, les techniques de conception et de développement, les systèmes et procédures de gestion des données, ainsi que les mécanismes de surveillance post-commercialisation.

Obligations relatives aux modèles d’IA a usage général (GPAI)

Le EU AI Act introduit un régime spécifique pour les modèles d’IA a usage général (Général-Purpose AI Models ou GPAI), tels que GPT-4, Gemini, Claude ou Llama. Ce régime distingue deux sous-catégories.

Obligations de base pour tous les modèles GPAI

Tous les fournisseurs de modèles GPAI doivent :

  • Établir et maintenir à jour une documentation technique du modèle, incluant le processus d’entraînement et de test, ainsi que les résultats de l’évaluation
  • Fournir des informations et une documentation aux fournisseurs en aval qui intègrent le modèle dans leurs systèmes d’IA
  • Mettre en place une politique de respect du droit d’auteur, notamment au regard de la directive (UE) 2019/790
  • Publier un résumé suffisamment détaillé des données d’entraînement utilisées

Obligations supplémentaires pour les modèles à risque systémique

Les modèles GPAI présentant un risque systémique – c’est-à-dire ceux disposant de capacités à fort impact, présumés tels lorsque la puissance de calcul cumulee pour l’entraînement dépasse 10^25 FLOPS – sont soumis à des obligations supplémentaires :

  • Réaliser des évaluations de modèles, y compris des tests contradictoires (red-teaming)
  • Évaluer et atténuer les risques systémiques possibles
  • Assurer un suivi, documenter et signaler sans retard injustifié au Bureau de l’IA et aux autorités nationales compétentes les incidents graves
  • Garantir un niveau adéquat de cybersécurité du modèle

Calendrier d’application

Le EU AI Act entre en application de manière échelonnée :

Date Entree en vigueur
1er août 2024 Entree en vigueur du règlement
2 février 2025 Interdiction des pratiques d’IA à risque inacceptable (article 5) et obligations de maîtrise de l’IA (article 4)
2 août 2025 Obligations relatives aux modèles GPAI (chapitre V), désignation des autorités nationales, sanctions pour les GPAI
2 août 2026 Application intégrale : systèmes à haut risque de l’annexe III, obligations de transparence, toutes les sanctions
2 août 2027 Systèmes à haut risque de l’annexe I (produits couverts par la législation d’harmonisation)

Ce calendrier progressif laissé aux acteurs économiques le temps de se préparer, mais les premières échéances sont déjà depassees pour les pratiques interdites et proches pour les obligations GPAI.

Régime de sanctions

Le EU AI Act instaure un régime de sanctions administratives dissuasif, structuré en trois paliers :

  • Pratiques interdites (article 5) : amendes pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu
  • Non-respect des autres obligations du règlement : amendes pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial
  • Fourniture d’informations inexactes, incomplètes ou trompeuses aux autorités : amendes pouvant atteindre 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial

Pour les PME et les start-ups, les amendes sont plafonnées au montant le plus faible entre le pourcentage et le montant fixe. Les institutions et agences de l’Union sont soumises à la compétence du Controleur européen de la protection des données, avec les mêmes plafonds.

Articulation avec le RGPD

Le EU AI Act ne se substitue pas au Règlement général sur la protection des données (RGPD). Les deux textes s’appliquent de manière complémentaire. Lorsqu’un système d’IA traité des données personnelles, les obligations du RGPD s’imposent intégralement et cumulativement avec celles du AI Act.

Cette articulation est particulièrement importante dans plusieurs domaines :

  • Base légale du traitement : le développement et le déploiement d’un système d’IA traitant des données personnelles nécessitent une base légale au titre de l’article 6 du RGPD
  • Analyse d’impact relative à la protection des données (AIPD) : les systèmes d’IA à haut risque traitant des données personnelles declenchent systématiquement l’obligation de réaliser une AIPD au titre de l’article 35 du RGPD
  • Droits des personnes concernées : les droits d’accès, de rectification, d’effacement et d’opposition s’appliquent pleinement aux traitements réalisés par des systèmes d’IA
  • Décisions automatisées : l’article 22 du RGPD impose des garanties spécifiques pour les décisions fondées exclusivement sur un traitement automatisé

Pour une analyse approfondie de cette articulation, consultez notre guide IA et RGPD. Si votre organisation doit réaliser un audit RGPD, l’intégration des systèmes d’IA dans le périmètre d’audit est désormais indispensable.

Le règlement s’inscrit également dans un écosystème réglementaire plus large, en interaction avec d’autres textes récents comme le Cyber Resilience Act pour les aspects de cybersécurité des produits connectés intégrant de l’IA.

Gouvernance : le Bureau de l’IA et les autorités nationales

Le EU AI Act met en place une architecture de gouvernance à plusieurs niveaux.

Le Bureau européen de l’IA (AI Office)

Cree au sein de la Commission européenne, le Bureau de l’IA est charge de la supervision des modèles GPAI, de l’élaboration de lignes directrices et de bonnes pratiques, de la coordination avec les autorités nationales, et de la coopération internationale. Il dispose de pouvoirs d’enquête et de sanction spécifiques pour les modèles GPAI.

Le Comité européen de l’intelligence artificielle (AI Board)

Compose de représentants des États membres, le Comité conseille et assiste la Commission et les États membres pour faciliter l’application cohérente du règlement.

Les autorités nationales compétentes

Chaque État membre doit désigner au moins une autorité de notification et une autorité de surveillance du marché. En France, les rôles respectifs de la CNIL, de la DGCCRF et d’autres autorités sectorielles restent a préciser définitivement. La CNIL a déjà affirme sa vocation a jouer un rôle central dans la supervision des systèmes d’IA traitant des données personnelles.

Le forum consultatif et le groupe scientifique

Un forum consultatif rassemblant les parties prenantes (industrie, société civile, monde académique) et un groupe scientifique d’experts indépendants completent le dispositif de gouvernance.

Comment se préparer à la conformité EU AI Act

La conformité au EU AI Act requiert une démarche structurée et anticipée. Voici les étapes essentielles :

1. Inventaire des systèmes d’IA – Recenser l’ensemble des systèmes d’IA développés, déployés ou utilisés au sein de l’organisation. Pour chaque système, déterminer le rôle de l’organisation (fournisseur, deployeur, importateur, distributeur).

2. Classification des risques – Déterminer le niveau de risque de chaque système identifie en appliquant les critères du règlement. Cette classification conditionne l’ensemble des obligations applicables.

3. Analyse d’écart (gap analysis) – Évaluer la conformité actuelle de chaque système par rapport aux exigences applicables. Identifier les actions correctives nécessaires.

4. Mise en conformité – Mettre en oeuvre les mesures techniques et organisationnelles requises : documentation technique, système de gestion des risques, gouvernance des données, mécanismes de contrôle humain, tests de robustesse et de cybersécurité.

5. Évaluation de conformité – Pour les systèmes à haut risque, réaliser l’évaluation de conformité selon la procédure applicable (auto-évaluation ou évaluation par un organisme notifie selon les cas).

6. Surveillance post-commercialisation – Mettre en place un système de surveillance continue et de signalement des incidents.

Des plateformes de gestion de la conformité comme Legiscope permettent de structurer cette démarche en automatisant le suivi des obligations réglementaires, la documentation et le pilotage des plans d’action, tant pour le RGPD que pour le AI Act.

Conclusion

Le EU AI Act représente un changement de paradigme dans la réglementation de l’intelligence artificielle. Son approche fondée sur le risque impose des obligations proportionnées mais substantielles, en particulier pour les systèmes à haut risque et les modèles d’IA a usage général. Les premières échéances étant déjà effectives, les organisations n’ont plus le luxe de l’attentisme. La conformité au AI Act doit être intégrée des maintenant dans la stratégie de gouvernance de l’IA, en synergie avec les obligations existantes au titre du RGPD et des autres réglementations européennes.

FAQ

Comment savoir si mon système d’IA est à haut risque ?

Un système d’IA est à haut risque s’il constitue un composant de sécurité d’un produit couvert par la législation d’harmonisation de l’UE, ou s’il relève de l’un des huit domaines de l’annexe III (biométrie, infrastructures critiques, éducation, emploi, services essentiels, répression, migration, justice). L’inventaire et la classification de vos systèmes d’IA sont la première étape vers la conformité.

Le AI Act s’applique-t-il aux entreprises situees hors de l’UE ?

Oui, le AI Act à une portée extraterritoriale. Il s’appliqué aux fournisseurs de systèmes d’IA mis sur le marché ou en service dans l’Union, quel que soit leur lieu d’établissement, ainsi qu’aux deployeurs établis hors de l’UE lorsque les résultats du système sont utilisés dans l’Union. Le mécanisme est similaire a celui du RGPD.

Quelles sont les sanctions prévues par le AI Act ?

Les amendes varient selon la gravité : jusqu’à 35 millions d’euros ou 7% du CA mondial pour les pratiques interdites, 15 millions ou 3% pour les autres obligations, et 7,5 millions ou 1% pour la fourniture d’informations inexactes. Les PME et start-ups bénéficient d’un plafonnement spécifique. En savoir plus sur l’articulation avec le RGPD.

Comment le AI Act s’articule-t-il avec le RGPD ?

Les deux textes s’appliquent de manière cumulative lorsqu’un système d’IA traité des données personnelles. Le RGPD impose ses propres exigences (base légale, AIPD, droits des personnes, article 22 sur les décisions automatisées) qui s’ajoutent aux obligations du AI Act. Un audit RGPD intégrant les systèmes d’IA est désormais indispensable.

Quand les obligations du AI Act entrent-elles en vigueur ?

Le calendrier est progressif : les pratiques interdites sont sanctionnables depuis février 2025, les obligations sur les modèles GPAI s’appliquent depuis août 2025, et l’application intégrale pour les systèmes à haut risque de l’annexe III est prévue pour août 2026. Les produits de l’annexe I suivront en août 2027.

Articles lies

AI Act

IA en banque et assurance : conformité AI Act

13 avril 2026 · 10 min
AI Act

IA et vidéosurveillance : cadre RGPD et AI Act

12 avril 2026 · 10 min
AI Act

Deepfakes : cadre juridique en France

11 avril 2026 · 11 min