AI Act : le règlement européen sur l'intelligence artificielle entre en application
AI Act 2026 : comprendre le règlement européen sur l'intelligence artificielle. Obligations des entreprises, systèmes interdits, calendrier d'application et sanctions.
AI Act : le règlement européen sur l'intelligence artificielle entre en application
Le règlement (UE) 2024/1689, communément appelé AI Act (Artificial Intelligence Act), constitue le premier cadre juridique complet au monde dédié à la régulation de l'intelligence artificielle. Adopté le 13 juin 2024 et entré en vigueur le 1er août 2024, ce règlement européen impose des obligations croissantes aux entreprises selon une approche fondée sur les risques. Avec l'application complète prévue le 2 août 2026, les entreprises françaises doivent dès à présent se préparer à cette transformation réglementaire majeure. Ce guide vous présente l'ensemble des obligations, le calendrier d'application, les sanctions encourues et les démarches à entreprendre.
Pourquoi l'Union européenne régule-t-elle l'intelligence artificielle ?
L'adoption de l'AI Act répond à plusieurs objectifs poursuivis par les institutions européennes. Le règlement vise d'abord à protéger les droits fondamentaux des citoyens européens face aux risques spécifiques posés par les systèmes d'IA, notamment en matière de discrimination, de surveillance et d'atteinte à la vie privée. Il s'agit ensuite d'établir un cadre de confiance propice au développement et à l'adoption de l'IA en Europe, en garantissant la sécurité et la fiabilité des systèmes déployés. Le règlement poursuit également l'objectif d'assurer le bon fonctionnement du marché intérieur en harmonisant les règles applicables aux systèmes d'IA dans l'ensemble des États membres, évitant ainsi la fragmentation réglementaire. Enfin, l'AI Act positionne l'Union européenne comme pionnière mondiale en matière de régulation de l'IA, établissant un standard susceptible d'influencer les législations d'autres juridictions.
Calendrier d'application : une mise en œuvre progressive
L'AI Act prévoit une entrée en application échelonnée sur plusieurs années, permettant aux opérateurs économiques de se conformer progressivement à leurs obligations.
| Date | Obligations applicables | Articles |
|---|---|---|
| 2 février 2025 | Interdiction des pratiques d'IA prohibées et obligations de culture IA | Article 5 |
| 2 août 2025 | Règles de gouvernance des modèles d'IA à usage général (GPAI) | Article 53 |
| 2 août 2026 | Application complète : systèmes à haut risque, transparence, évaluations de conformité | Articles 8-15, 50 |
| 2 août 2027 | Fin de la période transitoire pour les systèmes à haut risque intégrés dans des produits réglementés | Article 113 |
Les deux premières échéances sont désormais passées. Depuis le 2 février 2025, les pratiques d'IA interdites (article 5) sont effectivement prohibées et les entreprises doivent assurer la « culture IA » (AI literacy) de leur personnel. Depuis le 2 août 2025, les fournisseurs de modèles d'IA à usage général (GPAI) doivent respecter les obligations de gouvernance prévues à l'article 53. La date critique à venir est le 2 août 2026, date à laquelle l'ensemble des obligations relatives aux systèmes à haut risque deviendront applicables.
L'approche par les risques : quatre niveaux de classification
Le cœur de l'AI Act repose sur une classification des systèmes d'IA en quatre niveaux de risque, chaque niveau déterminant les obligations applicables aux opérateurs.
Risque inacceptable : les pratiques interdites (article 5)
Certaines pratiques d'IA sont purement et simplement interdites sur le territoire de l'Union européenne depuis le 2 février 2025. Il s'agit des systèmes d'IA recourant à des techniques subliminales ou manipulatrices visant à altérer de manière substantielle le comportement d'une personne, causant ou susceptibles de causer un préjudice appréciable. Sont également interdits les systèmes exploitant les vulnérabilités liées à l'âge, au handicap ou à la situation socio-économique pour fausser le comportement des personnes. La notation sociale (social scoring) par les autorités publiques ou les entreprises privées, lorsqu'elle conduit à un traitement défavorable injustifié, est prohibée. Les systèmes de catégorisation biométrique inférant des données sensibles (opinions politiques, convictions religieuses, orientation sexuelle) à partir de données biométriques sont également interdits, sous réserve d'exceptions limitées pour les forces de l'ordre. Enfin, les systèmes d'identification biométrique à distance en temps réel dans les espaces publics sont interdits, sauf dans des cas strictement encadrés (recherche de victimes, prévention de menaces terroristes).
Haut risque : les systèmes soumis à des obligations strictes (articles 6-15, annexe III)
Les systèmes d'IA à haut risque constituent la catégorie la plus réglementée après les pratiques interdites. L'annexe III du règlement énumère les domaines dans lesquels les systèmes d'IA sont présumés à haut risque. Il s'agit notamment des systèmes biométriques (identification à distance, reconnaissance des émotions sur le lieu de travail ou dans les établissements d'enseignement), des systèmes gérant des infrastructures critiques (énergie, transports, approvisionnement en eau), des systèmes utilisés dans l'éducation et la formation professionnelle (admissions, notation, orientation), des systèmes déployés dans l'emploi et la gestion des travailleurs (recrutement, tri de CV, évaluation des performances, résiliation de contrats), des systèmes d'accès aux services essentiels (évaluation de la solvabilité, assurance, prestations sociales, triage médical), des systèmes utilisés par les forces de l'ordre (reconnaissance faciale, police prédictive), des systèmes dans le domaine de la justice et des processus démocratiques, et des systèmes liés à la gestion des migrations et du contrôle aux frontières.
Risque limité : les obligations de transparence (article 50)
Les systèmes d'IA présentant un risque limité sont soumis à des obligations de transparence. Les utilisateurs doivent être informés qu'ils interagissent avec un système d'IA. Cette catégorie inclut notamment les chatbots, les systèmes de recommandation de contenu et les systèmes générant ou manipulant du contenu (deepfakes), pour lesquels le contenu doit être signalé comme généré par l'IA.
Risque minimal : conformité volontaire
Les systèmes d'IA présentant un risque minimal (filtres anti-spam, systèmes de jeux vidéo, etc.) ne sont soumis à aucune obligation spécifique. Le règlement encourage toutefois l'adoption volontaire de codes de conduite et de bonnes pratiques.
Obligations des fournisseurs de systèmes d'IA à haut risque
Les fournisseurs (providers) de systèmes d'IA à haut risque sont soumis aux obligations les plus lourdes, applicables à compter du 2 août 2026.
Gestion des risques et documentation technique
Le fournisseur doit mettre en place un système de gestion des risques couvrant l'ensemble du cycle de vie du système d'IA. Ce système comprend l'identification et l'analyse des risques connus et raisonnablement prévisibles, l'estimation et l'évaluation de ces risques, et l'adoption de mesures de gestion appropriées. Le fournisseur doit également établir une documentation technique complète incluant la description du processus de conception et de développement, les spécifications des données d'entraînement et de test, les métriques de performance et les limitations connues, ainsi que les risques identifiés et les mesures d'atténuation mises en œuvre.
Évaluation de conformité et marquage CE
Avant la mise sur le marché, le fournisseur doit démontrer la conformité de son système par une évaluation de conformité réalisée selon des procédures internes d'assurance qualité ou, le cas échéant, par un organisme tiers. Il doit établir une déclaration UE de conformité et apposer le marquage CE sur le système. Ces obligations sont comparables à celles existant pour les dispositifs médicaux ou les équipements sous pression, transposant au domaine de l'IA l'approche réglementaire européenne fondée sur la « nouvelle approche ».
Transparence et instructions d'utilisation
L'article 13 impose au fournisseur de fournir aux déployeurs (utilisateurs professionnels) des informations complètes sur le système, notamment l'identité et les coordonnées du fournisseur, les capacités techniques et les limitations du système, les spécifications de performance, les informations sur les risques, les données utilisées pour l'entraînement et les tests, ainsi que des instructions claires pour une utilisation appropriée.
Surveillance post-commercialisation
Le fournisseur doit maintenir un système de surveillance post-commercialisation permettant de suivre les performances du système après son déploiement et de détecter les risques émergents. En cas d'incident grave (dysfonctionnement causant un préjudice), le fournisseur doit le signaler aux autorités compétentes et aux déployeurs dans les délais impartis.
Obligations des fournisseurs de modèles d'IA à usage général (GPAI)
Les modèles d'IA à usage général (General-Purpose AI ou GPAI), tels que les grands modèles de langage (GPT, Claude, Gemini, Mistral, etc.), font l'objet d'obligations spécifiques applicables depuis le 2 août 2025 (article 53).
Les fournisseurs de modèles GPAI doivent établir une documentation technique décrivant les processus d'entraînement et de test ainsi que les résultats d'évaluation. Ils doivent fournir aux fournisseurs en aval les informations nécessaires pour intégrer le modèle dans leurs propres systèmes en conformité avec le règlement. Ils doivent adopter une politique de conformité au droit d'auteur garantissant le respect de la directive 2019/790 sur le droit d'auteur dans le marché unique numérique, notamment les dispositions relatives à la fouille de textes et de données (text and data mining). Ils doivent enfin publier un résumé détaillé des données d'entraînement selon un modèle établi par la Commission européenne.
Une exemption pour les modèles open source existe : les obligations de documentation technique et d'information aux fournisseurs en aval ne s'appliquent pas aux modèles diffusés sous licence libre avec des paramètres publiquement accessibles. En revanche, l'obligation de publication du résumé des données d'entraînement est maintenue.
Obligations des déployeurs de systèmes à haut risque
Les déployeurs (deployers), c'est-à-dire les entreprises qui utilisent des systèmes d'IA à haut risque dans leur activité professionnelle, sont soumis à des obligations distinctes prévues aux articles 26 et 27 du règlement.
Le déployeur doit utiliser le système d'IA conformément aux instructions fournies par le fournisseur. Il doit mettre en place une surveillance humaine effective, en désignant du personnel formé et compétent disposant de l'autorité nécessaire pour superviser le fonctionnement du système et, le cas échéant, pour l'interrompre ou en corriger les résultats. Lorsque le déployeur contrôle les données d'entrée, il doit veiller à leur pertinence, leur représentativité et leur qualité. Le déployeur doit conserver les journaux d'activité (logs) du système pendant une durée minimale de six mois, incluant les enregistrements de fonctionnement, les données d'entrée et de sortie, et les métriques de performance. En cas d'incident grave, le déployeur doit le signaler immédiatement au fournisseur, aux autorités compétentes et, le cas échéant, aux personnes affectées.
Sanctions : un régime dissuasif
L'article 99 du règlement prévoit un régime de sanctions administratives à trois niveaux, proportionné à la gravité des violations.
| Niveau | Violations concernées | Amende maximale |
|---|---|---|
| Niveau 1 (le plus sévère) | Pratiques interdites (art. 5), manquements graves aux obligations des systèmes à haut risque | 35 M€ ou 7 % du CA mondial annuel |
| Niveau 2 | Non-conformité des systèmes à haut risque, défauts de documentation, manquements aux évaluations de conformité | 15 M€ ou 3 % du CA mondial annuel |
| Niveau 3 | Fourniture d'informations incorrectes aux autorités, manquements procéduraux, violations de transparence (risque limité) | 7,5 M€ ou 1 % du CA mondial annuel |
Les amendes sont calculées en retenant le montant le plus élevé entre le montant fixe et le pourcentage du chiffre d'affaires mondial annuel. Un allègement est prévu pour les PME et les startups, dont les amendes sont ajustées à la baisse en considération de leur viabilité économique. Au-delà des amendes, les autorités peuvent prononcer des injonctions de mise en conformité, des mesures conservatoires ordonnant l'arrêt des systèmes non conformes, des notifications publiques des violations et des ordres de retrait du marché.
Mise en œuvre en France : la gouvernance nationale
Un modèle décentralisé de supervision
La France a opté pour un modèle de gouvernance décentralisé, répartissant les compétences de surveillance entre plusieurs autorités plutôt que de désigner un régulateur unique. La CNIL (Commission nationale de l'informatique et des libertés) joue un rôle central en tant qu'autorité de surveillance principale pour les systèmes d'IA impliquant des données personnelles. La CNIL a été désignée compétente pour quinze cas d'usage spécifiques de systèmes à haut risque et assure l'application des interdictions relatives à la reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement. L'ANSM (Agence nationale de sécurité du médicament et des produits de santé) supervise les systèmes d'IA qualifiés de dispositifs médicaux. D'autres autorités sectorielles interviennent dans leurs domaines de compétence respectifs.
Préparation de la CNIL
La CNIL a créé un département dédié à l'intelligence artificielle pour préparer l'exercice de ses nouvelles compétences. Ce département travaille notamment sur les bases d'apprentissage des systèmes d'IA (conditions de constitution des jeux de données d'entraînement), l'élaboration de lignes directrices en matière de conformité et la coordination avec le Bureau européen de l'IA (AI Office) institué au niveau de la Commission européenne. Il convient toutefois de noter que la France figure parmi les États membres les plus lents dans la mise en œuvre de l'AI Act, n'ayant pas encore finalisé la désignation de l'ensemble de ses autorités nationales compétentes malgré l'échéance initiale d'août 2025.
Articulation avec le RGPD
L'AI Act et le règlement général sur la protection des données (RGPD) constituent des cadres complémentaires qui s'appliquent cumulativement lorsqu'un système d'IA traite des données personnelles.
Deux régimes distincts mais convergents
L'AI Act régit la sécurité des produits : il détermine comment les systèmes d'IA doivent être conçus, développés et déployés, en imposant des exigences techniques et organisationnelles spécifiques. Le RGPD régit la protection des données : il encadre la collecte, l'utilisation et la protection des données personnelles, en garantissant les droits des personnes concernées (accès, rectification, effacement, consentement). Les deux règlements convergent sur plusieurs points essentiels : la lutte contre les biais algorithmiques et la discrimination, les évaluations d'impact (évaluation de conformité IA et analyse d'impact relative à la protection des données), la transparence et l'explicabilité des décisions automatisées, ainsi que la prise de décision automatisée (article 22 du RGPD et article 26 de l'AI Act sur la surveillance humaine).
Implications pratiques
Pour les entreprises françaises, la conformité au RGPD, déjà largement mise en œuvre depuis 2018, constitue un socle solide pour la conformité à l'AI Act. Les processus existants d'analyse d'impact (AIPD) peuvent être étendus pour intégrer les exigences spécifiques de l'AI Act. Le double rôle de la CNIL (application du RGPD et surveillance de l'AI Act) garantit une supervision cohérente et intégrée des deux cadres réglementaires.
Impact sur les entreprises françaises : se préparer avant août 2026
Étape 1 : cartographier les systèmes d'IA utilisés
La première démarche consiste à réaliser un inventaire exhaustif de tous les systèmes d'IA déployés ou développés au sein de l'entreprise. Cet inventaire doit identifier chaque système, déterminer son niveau de risque selon la classification du règlement, évaluer les obligations applicables (fournisseur, déployeur, importateur) et documenter les cas d'usage et les données traitées.
Étape 2 : évaluer la conformité actuelle
Pour chaque système identifié, l'entreprise doit évaluer son niveau de conformité au regard des exigences du règlement. Cette évaluation porte sur la documentation technique existante, les mécanismes de surveillance humaine en place, la qualité et la traçabilité des données d'entrée, les procédures de signalement des incidents et la transparence vis-à-vis des utilisateurs.
Étape 3 : mettre en œuvre les mesures correctives
Sur la base de l'évaluation, l'entreprise doit engager un plan de mise en conformité couvrant la rédaction ou la mise à jour de la documentation technique, la mise en place de procédures de gestion des risques, le déploiement de mécanismes de surveillance humaine, l'établissement de protocoles de signalement des incidents, la formation du personnel impliqué dans l'utilisation des systèmes d'IA et la mise en conformité des contrats avec les fournisseurs de systèmes d'IA.
Étape 4 : structurer la gouvernance IA
L'entreprise doit mettre en place une gouvernance interne dédiée à l'IA, incluant la désignation d'un référent IA ou d'un comité IA, la définition de processus d'approbation pour le déploiement de nouveaux systèmes, la mise en place d'audits réguliers de conformité et l'intégration de la conformité IA dans les processus existants de gestion des risques et de conformité.
Questions fréquentes sur l'AI Act
L'AI Act s'applique-t-il aux PME françaises ?
Oui. L'AI Act s'applique à toutes les entreprises, quelle que soit leur taille, dès lors qu'elles fournissent, déploient, importent ou distribuent des systèmes d'IA sur le marché européen. Toutefois, les PME et les startups bénéficient d'allègements en matière de sanctions (amendes ajustées à la baisse) et d'un accès privilégié aux « bacs à sable réglementaires » (regulatory sandboxes) pour tester leurs innovations dans un cadre allégé.
Quels sont les systèmes d'IA les plus concernés en entreprise ?
Les systèmes d'IA les plus couramment utilisés en entreprise et susceptibles d'être classés à haut risque sont les outils de recrutement et de tri de CV basés sur l'IA, les systèmes d'évaluation de la solvabilité pour l'octroi de crédits, les outils de surveillance des employés, les systèmes de notation et d'évaluation dans l'éducation, les systèmes de triage médical et d'aide au diagnostic, et les outils de détection de fraude dans les services financiers.
Un chatbot d'entreprise est-il soumis à l'AI Act ?
Un chatbot relève de la catégorie « risque limité » et est soumis aux obligations de transparence de l'article 50 : les utilisateurs doivent être informés qu'ils interagissent avec un système d'IA. Si le chatbot génère des contenus synthétiques (textes, images, vidéos), ces contenus doivent être signalés comme générés par l'IA. En revanche, si le chatbot est utilisé pour des fonctions à haut risque (évaluation de solvabilité, recrutement), il pourrait être reclassé en système à haut risque.
Quelle est la différence entre « fournisseur » et « déployeur » ?
Le fournisseur (provider) est l'entreprise qui développe un système d'IA ou qui fait développer un système d'IA et le met sur le marché ou en service sous son propre nom ou sa propre marque. Le déployeur (deployer) est l'entreprise qui utilise un système d'IA dans le cadre de son activité professionnelle. Une même entreprise peut être à la fois fournisseur et déployeur si elle développe et utilise ses propres systèmes d'IA. Les obligations diffèrent significativement : le fournisseur supporte les obligations les plus lourdes (documentation, conformité, marquage CE), tandis que le déployeur doit principalement assurer la surveillance humaine, la qualité des données d'entrée et le signalement des incidents.
Comment l'AI Act interagit-il avec le RGPD ?
Les deux règlements s'appliquent cumulativement. L'AI Act est expressément « sans préjudice du RGPD ». Lorsqu'un système d'IA traite des données personnelles, il doit respecter simultanément les exigences de l'AI Act (sécurité, transparence, surveillance humaine) et celles du RGPD (base légale, droits des personnes, minimisation). La conformité au RGPD constitue d'ailleurs un prérequis pour la déclaration de conformité des systèmes d'IA à haut risque.
Quand les sanctions seront-elles effectivement appliquées ?
Les sanctions pour violation des pratiques interdites (article 5) sont applicables depuis le 2 février 2025. Les sanctions pour les fournisseurs de modèles GPAI seront applicables à compter du 2 août 2026. L'ensemble des sanctions pour les systèmes à haut risque sera applicable à compter du 2 août 2026, date de l'application complète du règlement. Les autorités nationales compétentes, dont la CNIL en France, disposeront de pouvoirs d'enquête, d'injonction et de sanction.
L'AI Act représente une transformation majeure du cadre réglementaire applicable à l'intelligence artificielle en Europe. Avec l'échéance du 2 août 2026, les entreprises françaises disposent d'un délai limité pour se mettre en conformité. Si vous déployez ou développez des systèmes d'intelligence artificielle et souhaitez être accompagné dans votre mise en conformité avec le règlement européen, notre cabinet peut vous assister dans l'audit de vos systèmes, la qualification de vos obligations et la structuration de votre gouvernance IA.
Guillaume Leclerc, avocat d'affaires à Paris, 34 Avenue des Champs-Élysées
Pour approfondir vos connaissances en droit européen des affaires, consultez également nos articles sur la CSRD et le reporting extra-financier, le devoir de vigilance européen (directive CS3D) et la facturation électronique obligatoire en 2026.
