EU AI Act : Ce que les Entreprises Doivent Savoir

L'intelligence artificielle face à la régulation : la révolution du Règlement EU AI Act

Le Règlement (EU) 2024/1689, communément appelé EU AI Act, constitue la législation la plus ambitieuse et la plus complète jamais adoptée en matière de régulation de l'intelligence artificielle. Entrée en vigueur partiellement le 2 février 2025, cette réglementation transforme profondément les obligations des entreprises qui développent, commercialisent ou utilisent des systèmes d'intelligence artificielle au sein de l'Union européenne. Pour les entrepreneurs et les entreprises françaises, la compréhension de ce cadre juridique n'est plus une option, mais une impérativité stratégique.

Guillaume Leclerc, avocat d'affaires spécialisé dans le droit de l'innovation et de la technologie, vous guide à travers les méandres de cette législation européenne majeure. Cet article vous fournit une analyse approfondie des enjeux juridiques, des obligations de conformité et des stratégies de mise en œuvre que votre entreprise doit adopter dès maintenant.

Comprendre le cadre légal : l'objectif de l'EU AI Act

Les origines et les principes fondamentaux du Règlement EU 2024/1689

Le Règlement EU 2024/1689 a été adopté en décembre 2023 et constitue le premier cadre juridique horizontal et compréhensif visant à réglementer l'intelligence artificielle à l'échelle mondiale. Contrairement à des approches sectorielles isolées, cette réglementation établit un socle commun applicable à tous les systèmes d'intelligence artificielle, qu'ils soient utilisés dans la santé, la finance, l'emploi, l'administration ou tout autre secteur d'activité.

Les objectifs principaux du Règlement sont multiples : assurer la sécurité des systèmes d'intelligence artificielle, protéger les droits fondamentaux des citoyens européens, favoriser la confiance dans ces technologies, et créer un environnement de marché unique et non fragmenté pour les innovateurs. Le législateur européen s'inscrit dans une logique de principes d'interprétation larges, reconnaissant que la technologie évolue rapidement et que la réglementation doit rester adaptable.

La philosophie sous-jacente repose sur trois piliers : la protection des droits fondamentaux, l'assurance de la transparence et de la traçabilité des systèmes, et la responsabilisation de tous les acteurs de la chaîne de valeur, du développeur jusqu'à l'utilisateur final.

Le champ d'application territorial et matériel

L'EU AI Act s'applique à tous les systèmes d'intelligence artificielle commercialisés ou utilisés au sein de l'Union européenne, indépendamment du lieu où ils ont été développés. Cette portée extraterritoriale signifie que les entreprises américaines, chinoises, ou de toute autre juridiction doivent se conformer à ces exigences lorsqu'elles opèrent sur le marché européen.

Le Règlement définit un système d'intelligence artificielle comme « un système logiciel conçu à la suite d'une démarche liée à l'apprentissage automatique qui produit des prédictions, recommandations ou décisions influençant l'environnement avec lequel il interagit ». Cette définition volontairement large capture la plupart des applications contemporaines d'IA, des chatbots aux systèmes de reconnaissance faciale, en passant par les algorithmes de recommandation.

L'approche fondée sur les risques : le cœur de la régulation

La classification en quatre niveaux de risques

Le génie du Règlement EU 2024/1689 réside dans son approche graduée basée sur l'évaluation des risques. Le législateur reconnaît que tous les systèmes d'intelligence artificielle ne présentent pas le même niveau de danger, et que les obligations de conformité doivent être proportionnées au risque réel. Cette approche risk-based établit quatre catégories distinctes :

1. Les systèmes interdits (Risque inacceptable) : Au sommet de la pyramide se situent les systèmes dont l'utilisation est jugée inacceptable pour la protection des droits fondamentaux. Ces systèmes ne peuvent tout simplement pas être commercialisés ou utilisés au sein de l'Union européenne. Parmi ces pratiques prohibées figurent : les techniques de surveillance biométrique à distance en temps réel dans les lieux publics (à l'exception des finalités de sécurité publique strictement encadrées), les systèmes exploitant les vulnérabilités comportementales pour manipuler les individus, les systèmes de notation sociale basés sur le comportement des personnes, et les systèmes d'identification biométrique permettant l'appariement d'images de visages prélevées ou créées sans consentement.

2. Les systèmes à haut risque : Cette catégorie comprend les systèmes qui pourraient causer des dommages significatifs aux droits et libertés des personnes. Ces systèmes sont autorisés mais soumis à des obligations de conformité strictes et à une évaluation de conformité avant leur mise sur le marché. L'Annexe III du Règlement énumère précisément les secteurs et usages considérés comme à haut risque.

3. Les systèmes à risque limité : Ces systèmes présentent des risques moins graves mais nécessitent malgré tout le respect de certaines obligations, notamment des exigences minimales de transparence. Les utilisateurs finaux doivent être informés qu'ils interagissent avec un système d'IA et, dans certains cas, recevoir une notification explicite lorsque du contenu synthétique (deepfakes) est utilisé.

4. Les systèmes à risque minimal : La majorité des applications d'IA, qui ne présentent que des risques négligeables, relèvent de cette catégorie et ne sont soumises à aucune obligation spécifique du Règlement (bien qu'elles demeurent soumises aux autres régulations sectorielles applicables).

L'Annexe III : les secteurs et usages à haut risque

L'Annexe III du Règlement EU 2024/1689 énumère de manière exhaustive les domaines d'application où les systèmes d'intelligence artificielle sont considérés comme étant à haut risque. Ces secteurs reflètent les préoccupations majeures du législateur concernant l'impact potentiel sur les droits et libertés fondamentales :

- Gestion des frontières et du contrôle d'immigration : Les systèmes d'IA utilisés pour évaluer l'admissibilité des ressortissants de pays tiers ou pour la détection de faux documents

- Droit d'accès à des services publics essentiels : Systèmes déterminant l'accès au logement social, à l'aide alimentaire, ou à d'autres services essentiels

- Recrutement et gestion des travailleurs : Systèmes d'IA utilisés pour la sélection de candidats, l'évaluation de la performance, la promotion, ou les licenciements

- Évaluation du crédit et d'assurances : Systèmes déterminant la solvabilité d'une personne ou le prix des assurances

- Évaluation du risque pénal et de la dangerosité : Systèmes utilisés dans le contexte judiciaire pour évaluer le risque de récidive ou influencer les décisions de justice

- Identification biométrique : Systèmes de reconnaissance faciale et d'autres formes d'identification biométrique (à l'exception des usages explicitement autorisés)

- Protection de la santé et de la sécurité : Systèmes d'IA utilisés pour l'interprétation d'images médicales ou pour le diagnostic

Pour chacun de ces domaines, l'entreprise développant ou commercialisant un système d'IA à haut risque doit démontrer sa conformité aux exigences spécifiques établies par le Règlement.

Les pratiques prohibées : ce que les entreprises ne doivent absolument pas faire

Article 5 : les systèmes interdits

L'Article 5 du Règlement EU 2024/1689 énumère les pratiques de l'intelligence artificielle considérées comme incompatibles avec les valeurs fondamentales de l'Union européenne et donc strictement interdites. Cette interdiction est absolue et ne souffre d'aucune exception ou justification (hormis certains cas très encadrés de sécurité publique).

Interdiction n°1 : La surveillance biométrique à distance en temps réel

Les États membres ne peuvent autoriser le déploiement de systèmes de surveillance biométrique à distance en temps réel dans les lieux accessibles au public pour l'identification ou la catégorisation de personnes physiques, sauf pour des finalités de sécurité publique strictement définies. Par exemple, l'utilisation de la reconnaissance faciale dans une gare pour rechercher une personne disparue pourrait être justifiée, mais son utilisation systématique pour surveiller tous les passagers serait interdite.

Cette interdiction revêt une importance capitale pour les entreprises opérant dans le secteur de la surveillance, de la sécurité ou du contrôle d'accès. Elle rend également obligatoire une réflexion éthique profonde sur les technologies de reconnaissance biométrique.

Interdiction n°2 : L'exploitation des vulnérabilités comportementales

Sont interdits les systèmes d'intelligence artificielle conçus ou modifiés pour manipuler délibérément le comportement d'une personne physique ou d'un groupe de personnes, en exploitant leurs vulnérabilités particulières (liées à l'âge, au handicap ou à une situation sociale). Cette interdiction vise particulièrement les systèmes dits de « dark patterns » ou d'« architures nudge ».

Par exemple, un système d'IA recommandant à un adolescent des achats impulsifs en exploitant sa susceptibilité à la validation sociale serait prohibé sous cette disposition.

Interdiction n°3 : Les systèmes de notation sociale

Sont interdits les systèmes d'intelligence artificielle destinés à évaluer ou à classer la fiabilité sociale de personnes physiques sur la base de leur comportement ou de leurs caractéristiques personnelles, au cours d'une période prolongée. Cette interdiction vise directement les systèmes de notation sociale de type « social credit systems » observés dans certains contextes géopolitiques.

Interdiction n°4 : L'identification biométrique sans consentement

Sont interdits les systèmes d'identification biométrique permettant l'appariement d'images ou de vidéos de visages ou d'autres données biométriques prélevées ou créées sans consentement ou sans fondement juridique clair, ou permettant la création de bases de données d'images faciales sans transparence et information.

Cette interdiction s'applique à la création de bases de données biométriques à partir de sources ouvertes (réseaux sociaux, vidéos de surveillance publiques) sans consentement préalable explicite.

Les conséquences juridiques du non-respect

Le déploiement d'un système d'intelligence artificielle interdit expose l'entreprise à des sanctions administratives substantielles, pouvant atteindre 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). Au-delà des sanctions financières, l'entreprise s'expose à des actions en responsabilité civile de la part des victimes, à des poursuites judiciaires, et à une perte de réputation irrémédiable.

Les obligations des systèmes à haut risque : la conformité en détail

La gestion des risques et les exigences techniques

Les systèmes d'intelligence artificielle à haut risque doivent répondre à des exigences techniques strictes visant à minimiser les risques liés à leur utilisation. Ces exigences incluent :

1. La gestion systématique des risques : Les fournisseurs doivent mettre en place un processus de gestion des risques établissant une procédure continue pour identifier, évaluer et réduire les risques liés au système. Ce processus doit être documenté, mise à jour régulièrement, et accessible à l'autorité de surveillance.

2. La qualité et la gouvernance des données : Les données d'entraînement, de validation et de test doivent être de haute qualité, pertinentes, représentatives et exemptes de biais discriminatoires. Le Règlement exige une documentation détaillée de la provenance des données, de leur qualité et des mesures prises pour éliminer les biais.

3. La documentation technique : Les fournisseurs doivent constituer et tenir à jour une documentation technique détaillée incluant : une description générale du système, les objectifs poursuivis, l'architecture du système, une description des données d'entraînement, les résultats des évaluations de conformité, et les instructions d'utilisation.

4. L'essai et la validation des performances : Le système doit être soumis à des tests rigoureux avant sa mise sur le marché, et ces tests doivent être documentés de manière exhaustive. Les résultats de performance, de robustesse et de sécurité doivent être établis selon des méthodologies reconnues et reproductibles.

5. La tenue de registres des journaux d'événements : Les systèmes à haut risque doivent être conçus de manière à enregistrer automatiquement les événements pertinents relatifs à leur fonctionnement. Ces journaux doivent être conservés pendant une période appropriée et être accessibles aux autorités compétentes.

La transparence et l'information des utilisateurs

Au-delà des exigences techniques, le Règlement impose des obligations strictes de transparence et d'information. Les personnes affectées par un système d'IA à haut risque doivent être informées de l'existence du système, de ses caractéristiques principales, de son objectif et des implications de son utilisation.

Plus précisément, avant de prendre une décision basée sur un système d'IA à haut risque susceptible d'affecter significativement les droits d'une personne (refus d'accès à un service, rejet d'une candidature, refus de crédit), le fournisseur ou l'utilisateur du système doit informer la personne concernée et lui permettre d'exercer son droit à explication.

Cet droit à explication est étroitement lié aux obligations de transparence prévues par le Règlement Général sur la Protection des Données (RGPD), qui demande une information significative sur la logique de la prise de décision automatisée. Toutefois, le Règlement EU AI Act va plus loin en exigeant une documentation interne spécifique sur la logique derrière les décisions du système.

La conformité et l'évaluation tierce

Pour les systèmes à haut risque, la conformité ne peut être auto-déclarée par le fournisseur. À quelques exceptions près, les fournisseurs doivent faire évaluer leur système par un organisme notifié, c'est-à-dire une entité tierce indépendante accréditée pour vérifier le respect des exigences du Règlement.

Cette évaluation tierce doit vérifier que le système répond à toutes les exigences essentielles énumérées dans le Règlement. En cas de conformité, l'organisme notifié émet un certificat de conformité UE, qui doit être conservé par le fournisseur et mis à disposition de l'autorité de surveillance.

Le coût de ces évaluations peut être substantiel, particulièrement pour les systèmes complexes, mais constitue un investissement essentiel pour assurer la légalité de la mise sur le marché.

Les modèles d'IA généraliste (GPAI) : une catégorie à surveiller

La régulation spécifique des systèmes d'IA généraliste

Le Règlement reconnaît l'émergence d'une catégorie particulière de systèmes d'intelligence artificielle : les modèles d'IA généraliste (GPAI - General Purpose AI). Ces modèles, tels que ChatGPT, Claude ou Gemini, ne sont conçus pour aucune application spécifique mais possèdent plutôt la capacité à être utilisés dans une large variété de contextes différents.

La régulation des GPAI présente un défi particulier pour le législateur : comment réglementer des systèmes dont les usages finaux ne sont pas prévisibles au moment du développement ? Le Règlement adopte une approche pragmatique en distinguant entre :

- Les GPAI non-haut risque : Soumis à des obligations minimales de transparence et de documentation

- Les GPAI à haut risque : Soumis à l'ensemble des exigences applicables aux systèmes à haut risque

- Les GPAI ayant des capacités systémiques : Une nouvelle catégorie pour les modèles de très grande taille disposant de capacités particulièrement avancées, soumis à des obligations additionnelles de gestion des risques systémiques

Cette classification reflète la reconnaissance du législateur que les grands modèles de langage présentent des risques systémiques potentiels (désinformation à grande échelle, cybersécurité, etc.) qui nécessitent une attention particulière même lorsqu'ils ne sont pas déployés directement comme systèmes à haut risque.

Les obligations spécifiques pour les fournisseurs de GPAI

Les entreprises développant des modèles d'IA généraliste doivent respecter un ensemble d'obligations incluant :

- L'entraînement de manière responsable : Utilisation de données de haute qualité, mise en place de mécanismes de filtrage des contenus nuisibles

- La documentation détaillée : Fourniture d'une documentation technique complète, d'un résumé des données d'entraînement, des exigences informatiques nécessaires

- La conformité au droit d'auteur : Respect des droits des créateurs et mise en place de mécanismes pour refuser l'utilisation du modèle à des fins contraires au droit

- La publication d'informations sur la capacité du système : Divulgation publique de ses capacités, limitations et scénarios d'usage inappropriés

- Le rapport sur les risques systémiques (pour les GPAI à capacités systémiques) : Évaluation des risques systémiques du modèle et mesures pour les atténuer

Ces obligations, bien que moins strictes que celles applicables aux systèmes à haut risque, marquent une évolution majeure vers la responsabilisation de tous les acteurs de l'écosystème de l'IA.

La gouvernance et les mécanismes de mise en œuvre

L'Office de l'IA européenne et les autorités nationales

Le Règlement EU AI Act établit une architecture de gouvernance sophistiquée reposant sur trois niveaux : européen, national et local. Au niveau européen, la Commission européenne est appuyée par deux organes clés :

L'Office de l'IA européenne (European AI Office) : Cet organe nouvellement créé assume des responsabilités centrales dans la mise en œuvre du Règlement, notamment : le suivi et l'évaluation des risques systémiques liés aux GPAI, la notification des GPAI à capacités systémiques, la coordination avec les autorités nationales, et la fourniture de conseils techniques et réglementaires.

Le Comité européen de l'IA (European AI Board) : Ce comité constitué des représentants des autorités nationales compétentes et présidé par l'Office de l'IA assure la cohérence de l'application du Règlement à travers l'Union européenne.

Au niveau national, chaque État membre doit désigner une ou plusieurs autorités nationales compétentes responsables de la supervision, de l'inspection, de l'application des mesures de conformité et du traitement des plaintes. En France, ces responsabilités sont confiées à plusieurs acteurs selon le secteur d'activité : la CNIL pour la protection des données, l'ANSSI pour la cybersécurité, et d'autres autorités sectorielles selon le domaine d'application.

L'évaluation de conformité et la certification

Le processus de démonstration de la conformité au Règlement varie en fonction du type de système d'IA et du risque qu'il présente :

Pour les systèmes à haut risque : Obligation d'une évaluation tierce par un organisme notifié, sauf pour certains systèmes spécifiques où une auto-évaluation du fournisseur est acceptée sous contrôle étroit.

Pour les GPAI non-haut risque : Obligation de documentation et de transparence, mais pas nécessairement d'évaluation tierce.

Pour les autres systèmes : Généralament soumis aux régimes existants sans obligations supplémentaires du Règlement EU AI Act.

Une fois la conformité établie, le fournisseur doit apposer le marquage CE sur le produit ou dans la documentation technique. Ce marquage constitue une déclaration de conformité aux exigences du Règlement et engage la responsabilité du fournisseur.

L'interaction avec le RGPD et les autres régulations européennes

Les chevauchements entre l'EU AI Act et le RGPD

Le Règlement Général sur la Protection des Données (RGPD) et le Règlement EU AI Act coexistent dans un environnement réglementaire qui, bien que complémentaire, peut présenter des points de tension ou de chevauchement.

Le RGPD s'applique à tout traitement de données personnelles, y compris dans le contexte de systèmes d'intelligence artificielle. Ainsi, une entreprise développant un système d'IA doit se conformer simultanément aux obligations du RGPD (légalité du traitement, transparence, droits des personnes concernées) et aux exigences du Règlement EU AI Act (gestion des risques, documentation technique, évaluation de conformité).

Cependant, les deux régulations poursuivent des objectifs distincts : le RGPD se concentre sur la protection des données personnelles, tandis que l'EU AI Act vise la protection contre les risques liés au fonctionnement et à la décision des systèmes d'IA. Par conséquent, une entreprise pourrait être entièrement conforme au RGPD (par exemple, en obtenant le consentement pour utiliser les données) tout en violant l'EU AI Act (en utilisant un système d'IA interdit ou sans procédures de gestion des risques adéquates).

L'interaction entre ces deux régimes exige une approche intégrée de la conformité, qui prend en compte simultanément les exigences de protection des données et les obligations relatives à l'intelligence artificielle.

Les connexions avec le Règlement sur les Services Numériques (DSA) et le Règlement sur les Marchés Numériques (DMA)

Trois autres régulations européennes complètent le tableau réglementaire du numérique : le Règlement sur les Services Numériques (DSA - Digital Services Act) et le Règlement sur les Marchés Numériques (DMA - Digital Markets Act).

Le DSA impose des obligations aux prestataires de services numériques (en particulier les plateformes en ligne) concernant la modération de contenu, la transparence des algorithmes de recommandation, et la protection des consommateurs. De nombreuses dispositions du DSA concernent des systèmes d'intelligence artificielle, créant ainsi un chevauchement avec l'EU AI Act.

Le DMA cible les entreprises occupant une position dominante sur les marchés numériques, les imposant de respecter des obligations spécifiques en matière de juste concurrence, d'accès interopérable aux données, et de neutralité des algorithmes. Là encore, les systèmes d'IA utilisés par ces entreprises doivent se conformer aux deux régimes.

Pour les entreprises opérant dans l'écosystème numérique européen, cette superposition de régulations crée une charge de conformité substantielle mais également une clarté accrue sur les attentes réglementaires.

Le calendrier d'application progressif du Règlement

Les différentes phases d'entrée en vigueur

Le Règlement EU AI Act n'est pas entré en vigueur de manière uniforme. Au contraire, le législateur européen a adopté une approche progressive reconnaissant que les différentes dispositions nécessitent des délais d'adaptation variables :

Phase 1 - Février 2025 (déjà en vigueur) : Entrée en vigueur des dispositions concernant les pratiques interdites (Article 5) et la gouvernance. Les entreprises ne doivent d'ores et déjà pas déployer les systèmes interdits.

Phase 2 - Août 2025 : Entrée en vigueur des obligations applicables aux GPAI (modèles d'IA généraliste) et aux systèmes à risque limité. Les fournisseurs de chatbots, assistants virtuels et autres GPAI doivent se conformer aux exigences minimales de documentation et de transparence.

Phase 3 - Janvier 2026 : Entrée en vigueur des obligations applicables aux systèmes à haut risque. À compter de cette date, les entreprises ne peuvent plus commercialiser un système à haut risque sans avoir suivi le processus de conformité complet, y compris l'évaluation par un organisme notifié.

Phase 4 - Janvier 2027 : Le Règlement s'applique intégralement à tous les systèmes d'IA, à l'exception de certaines dispositions de détail qui pourraient avoir des délais supplémentaires.

Cette approche progressive offre aux entreprises un délai pour adapter leurs processus, mais crée également une charge de planification et de gestion du changement substantielle.

Les actions immédiates pour les entreprises françaises

Bien que le Règlement ne s'applique entièrement que progressivement, les entreprises françaises doivent dès maintenant prendre des mesures pour assurer la conformité future :

- Audit des systèmes existants : Identifier tous les systèmes d'IA actuellement utilisés ou développés et les classer selon les catégories de risque du Règlement

- Évaluation de la conformité actuelle : Déterminer quels systèmes, s'ils ne sont pas modifiés, seraient interdits ou violeraient les exigences du Règlement

- Planification des ressources : Évaluer les ressources techniques, juridiques et financières nécessaires pour assurer la conformité avant les dates d'application

- Documentation et gouvernance : Commencer à constituer les dossiers techniques requis et mettre en place une gouvernance interne de l'IA

- Formation et sensibilisation : Former les équipes techniques, juridiques et de direction aux exigences du Règlement

Ces actions préalables donneront aux entreprises une avance significative et réduiront les risques d'amende et de disruption à l'approche des dates d'application.

Les sanctions et les conséquences du non-respect

L'échelle des amendes administratives

Le Règlement EU AI Act prévoit un régime de sanctions administratives particulièrement strict, conçu pour dissuader le non-respect :

Catégorie 1 - Violations graves (déploiement de systèmes interdits, absence d'évaluation de conformité pour systèmes à haut risque, etc.) : Amende pouvant atteindre 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu). Pour une multinationale générant 10 milliards d'euros de chiffre d'affaires annuel, cette amende pourrait atteindre 700 millions d'euros.

Catégorie 2 - Violations mineures (défauts de documentation, absence de registres de journaux, etc.) : Amende pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial total.

Catégorie 3 - Violations de faible gravité (défaut de transparence envers les utilisateurs, etc.) : Amende pouvant atteindre 5 millions d'euros ou 1% du chiffre d'affaires annuel mondial total.

Ces montants substantiels ont conduit certains observateurs à qualifier le Règlement EU AI Act comme « l'une des régulations les plus strictes jamais adoptées en matière de technologie ».

Les autres conséquences du non-respect

Au-delà des amendes administratives, le non-respect du Règlement peut générer des conséquences civiles, pénales et réputationnelles :

Responsabilité civile : Les victimes de dommages causés par un système d'IA non-conforme peuvent intenter une action en responsabilité civile contre le fournisseur ou l'utilisateur du système. Cette responsabilité couvre les dommages matériels, corporels et moraux.

Actions collectives (class actions) : Le droit européen reconnaît de plus en plus les actions de groupe en matière de protection des droits numériques, ce qui pourrait faciliter les poursuites collectives contre les entreprises violant le Règlement

Retrait du marché : L'autorité de surveillance peut ordonner le retrait immédiat d'un système d'IA du marché, entraînant des pertes financières significatives et une perturbation des opérations commerciales.

Dommage réputationnel : La violation d'une réglementation majeure en matière de protection des droits fondamentaux peut causer un dommage réputationnel durable, affectant la confiance des clients, partenaires et investisseurs.

Restrictions d'accès au marché : Une histoire de non-conformité peut complexifier l'accès à certains marchés publics ou contrats avec des entités soumises à des obligations strictes de diligence raisonnable.

La conformité pour les entreprises françaises : une feuille de route pragmatique

Étape 1 : L'audit et l'inventaire des systèmes d'IA

La première étape essentielle consiste à réaliser un audit complet de l'écosystème informatique et technologique de l'entreprise pour identifier tous les systèmes comportant des composantes d'intelligence artificielle. Cet audit doit inclure :

- Les systèmes développés en interne

- Les systèmes intégrés depuis des tiers (logiciels SaaS, APIs, etc.)

- Les systèmes en cours de déploiement ou de développement

- Les solutions anciennes qui pourraient comporter des modules d'IA préexistants

Cet inventaire doit être documenté de manière systématique avec, pour chaque système, une brève description fonctionnelle et de la finalité poursuivie.

Étape 2 : La classification des risques

Une fois l'inventaire réalisé, chaque système doit être classé selon la taxonomie du Règlement :

Risque inacceptable (interdits) : Examen critique pour déterminer si le système entre dans les catégories explicitement interdites

Haut risque : Application des critères de l'Annexe III pour déterminer si le système opère dans un secteur ou contexte identifié comme à haut risque

Risque limité : Systèmes qui interagissent avec les utilisateurs mais sans impact direct sur les droits fondamentaux

Risque minimal : Systèmes qui ne présentent que des risques négligeables ou qui ne répondent pas à la définition de système d'IA du Règlement

Cette classification déterminera l'ensemble des obligations applicables et la priorité d'action.

Étape 3 : La conformité des systèmes interdits

Pour les systèmes identifiés comme interdits, l'action est claire : ils doivent être cessés immédiatement ou substantially modifiés pour ne plus violer les dispositions du Règlement. Attendre jusqu'aux dates d'application complète exposerait l'entreprise à des risques inutiles.

Pour les systèmes de reconnaissance biométrique utilisés à distance en temps réel, l'entreprise doit cesser cette utilisation ou obtenir une base juridique explicite pour continuer (finalité de sécurité publique encadrée par une loi d'État membre).

Étape 4 : La gouvernance et la documentation pour les systèmes à haut risque

Pour les systèmes classifiés comme à haut risque, l'entreprise doit mettre en place :

Une gestion formelle des risques : Mise en place d'un processus documenté d'identification, d'évaluation et d'atténuation des risques liés au système, avec révisions périodiques et mise à jour.

Une documentation technique exhaustive : Constitution d'un dossier technique complète incluant la description du système, ses objectifs, son architecture, les données d'entraînement, les résultats des tests, etc. Ce dossier doit être conservé pendant toute la durée de commercialisation et après.

Des mécanismes de traçabilité : Mise en place de systèmes d'enregistrement automatique des événements pertinents du système d'IA (décisions clés, anomalies détectées, etc.) pour assurer la traçabilité et faciliter les audits.

Une transparence envers les utilisateurs : Information préalable des personnes affectées par des décisions basées sur le système, ainsi que la mise à disposition d'un mécanisme permettant l'accès à une explication de la décision.

Étape 5 : L'évaluation tierce et le marquage CE

Pour les systèmes à haut risque (hormis quelques exceptions), l'entreprise doit engager un organisme notifié pour évaluer la conformité du système aux exigences du Règlement. Ce processus comporte généralement :

- La soumission du dossier technique et des documents requis à l'organisme notifié

- L'évaluation par l'organisme, qui peut inclure des tests techniques et des audits

- La correction des éventuelles lacunes identifiées

- La délivrance d'un certificat de conformité UE par l'organisme notifié

Une fois en possession du certificat, l'entreprise doit apposer le marquage CE sur le produit ou la documentation technique, constituant une déclaration formelle de conformité.

Le coût de cette évaluation tierce varie considérablement selon la complexité du système, mais oscille généralement entre 50 000 et 500 000 euros pour une évaluation complète.

Étape 6 : La conformité aux exigences relatives aux GPAI

Si l'entreprise développe ou utilise des modèles d'IA généraliste (GPAI), elle doit respecter les obligations spécifiques à cette catégorie :

- Mise à disposition d'une documentation technique accessible aux clients et aux autorités

- Publication d'informations résumées sur les capacités, limitations et scénarios d'usage inappropriés

- Mise en place de mesures pour éviter l'utilisation du modèle à des fins prohibées (par exemple, création de contenu synthétique illégal)

- Pour les GPAI à capacités systémiques, évaluation et rapport sur les risques systémiques

Étape 7 : La formation et la sensibilisation internes

Enfin, l'entreprise doit assurer que son personnel, particulièrement les équipes techniques, juridiques et de direction, comprenne les exigences du Règlement. Cette sensibilisation doit inclure :

- Des formations spécialisées sur le contenu du Règlement et ses implications pour l'entreprise

- La mise en place de procédures internes de contrôle et d'audit

- L'établissement de points de contact responsables de la conformité IA

- Une culture d'évaluation des impacts potentiels sur les droits fondamentaux à chaque stade du développement de systèmes d'IA

FAQ : Questions fréquemment posées sur le Règlement EU AI Act

1. Mon entreprise développe un chatbot utilisant l'intelligence artificielle. Sommes-nous soumis au Règlement EU AI Act ?

Oui, très probablement. Si votre chatbot utilise une forme quelconque d'apprentissage automatique, il est un « système d'intelligence artificielle » au sens du Règlement. La classification dépendra alors de l'utilisation prévue : un chatbot de service client à faible risque serait classé en risque limité, tandis qu'un chatbot utilisé pour évaluer des candidatures professionnelles serait classé à haut risque. À partir d'août 2025, même les chatbots à faible risque seront soumis à des obligations minimales de transparence et de documentation.

2. Quels sont précisément les délais d'application du Règlement pour ma startup ?

Les délais dépendent du type de système d'IA que votre startup développe. Si vous travaillez sur des systèmes interdits (reconnaissance faciale à distance, manipulation comportementale), le Règlement s'applique déjà depuis février 2025. Pour les modèles d'IA généraliste, les obligations entrent en vigueur en août 2025. Pour les systèmes à haut risque, le délai s'étend jusqu'en janvier 2026. Cependant, nous recommandons à toutes les startups de commencer leur audit et planification dès maintenant pour être prêtes avant ces dates.

3. Mon entreprise n'opère qu'en France. Sommes-nous quand même soumis au Règlement EU AI Act ?

Oui. Le Règlement s'applique à tout système d'IA commercialisé au sein de l'Union européenne, indépendamment du lieu d'établissement de l'entreprise. Même une petite PME française proposant un logiciel utilisant l'IA doit se conformer au Règlement. Cependant, certaines obligations peuvent être allégées pour les microentreprises et petites entreprises dans le contexte de l'évaluation de conformité.

4. Nous utilisons un service d'IA en mode SaaS fourni par une entreprise américaine. Qui est responsable de la conformité au Règlement ?

La responsabilité est partagée. L'entreprise américaine, en tant que développeur et fournisseur du service, doit se conformer aux exigences du Règlement. Cependant, votre entreprise, en tant qu'utilisateur du service pour une finalité spécifique (par exemple, le recrutement), doit également s'assurer que l'utilisation du service respecte le Règlement. Si le service n'est pas conforme, votre entreprise s'expose aux risques tout autant que le fournisseur. Nous recommandons de vérifier la conformité du fournisseur avant d'utiliser son service et de conclure un contrat clarifiant les responsabilités respectives.

5. Le Règlement s'applique-t-il à notre système d'IA s'il n'utilise pas de données personnelles ?

Oui. Contrairement au RGPD, le Règlement EU AI Act ne limite son application qu'aux systèmes traitant des données personnelles. Un système d'IA peut être soumis au Règlement même s'il opère exclusivement sur des données anonymes ou non-personnelles. L'analyse du risque se fait sur la base de l'utilisation prévue du système, non sur le type de données traitées. Cependant, si le système ne traite aucune donnée personnelle, les obligations relatives au RGPD ne s'appliqueront pas parallèlement.

6. Qu'est-ce qu'un organisme notifié et comment en trouver un pour l'évaluation de conformité ?

Un organisme notifié est une entité tierce indépendante accréditée par un État membre de l'Union européenne pour procéder à l'évaluation de la conformité des systèmes d'IA à haut risque. La liste de ces organismes sera publiée sur le portail officiel de la Commission européenne. Pour trouver un organisme notifié approprié, vous devez identifier un organisme compétent dans votre secteur d'activité, puis engager des discussions concernant le périmètre et le coût de l'évaluation. En France, plusieurs organismes d'accréditation et de certification commencent à préparer cette fonction.

7. Un système d'IA utilisant uniquement des données publiques est-il exempté du Règlement ?

Non. L'utilisation exclusive de données publiques n'exempte pas un système d'IA du Règlement. Même un système fondé exclusivement sur des données accessibles publiquement doit répondre à toutes les exigences applicables selon sa classification de risque. Cependant, l'utilisation de données publiques peut simplifier certains aspects de la conformité, notamment en matière de légalité du traitement (puisqu'il n'y a pas de traitement de données personnelles, les obligations du RGPD ne s'appliquent pas).

8. Quelles sont les conséquences du non-respect du Règlement pour un petit ou moyen entreprise ?

Les conséquences peuvent être graves même pour une petite entreprise. Une PME développant un système à haut risque sans évaluation de conformité s'expose à une amende pouvant atteindre 7% du chiffre d'affaires annuel. Pour une PME de 5 millions d'euros de chiffre d'affaires, cela représente une amende potentielle de 350 000 euros. Au-delà de l'amende, l'entreprise doit cesser la commercialisation du système, ce qui peut perturber gravement son modèle économique. Enfin, l'entreprise peut être confrontée à des actions en responsabilité civile de la part des clients victimes de dysfonctionnements du système. Ces risques soulignent l'importance pour les PME de prendre la conformité au sérieux dès le stade du développement.

Tableau comparatif : Niveaux de risque et obligations du Règlement EU AI Act

[Tableau à insérer en bloc Embed Code dans le Designer Webflow]

L'interaction du Règlement EU AI Act avec le droit français et international

Le rôle du droit français existant

Le Règlement EU AI Act n'abroge pas les régulations sectorielles existantes en droit français. Au contraire, il s'ajoute à celles-ci. Par exemple, une entreprise française utilisant l'IA dans le secteur des assurances doit se conformer simultanément aux exigences du Règlement EU AI Act ET à celles du Code des assurances et du Code civil français.

Cependant, lorsqu'une contradiction existe entre le Règlement EU (qui est directement applicable et a une primauté hiérarchique) et une règle de droit français, c'est le Règlement qui prévaut.

Certaines dispositions du droit français existant faciliteront la conformité au Règlement EU AI Act. Par exemple, le Code civil français établit depuis longtemps un cadre de responsabilité civile en cas de dommages causés par une technologie, ce qui aligne le cadre français avec les objectifs du Règlement.

L'impact sur les contrats B2B et les relations commerciales

Le Règlement EU AI Act aura un impact significatif sur les contrats commerciaux impliquant l'utilisation d'IA. Les entreprises devront insérer dans leurs contrats des clauses spécifiques :

- Clarifiant la responsabilité du développeur et de l'utilisateur en matière de conformité

- Établissant les obligations de documentation et de transparence

- Définissant les mécanismes de gestion des risques et d'audit

- Prévoyant le droit de l'utilisateur à accéder aux informations sur le fonctionnement du système

- Stipulant les conséquences en cas de violation du Règlement

Lire attentivement vos contrats avec des fournisseurs d'IA et les adapter est devenu essentiel pour s'assurer que vos droits et obligations sont clairs.

L'approche des fournisseurs de solutions d'IA et des plateformes technologiques

Les obligations pour les prestataires SaaS et cloud

Les entreprises fournissant des solutions d'intelligence artificielle en mode SaaS ou en tant que service cloud (par exemple, des plateformes de machine learning, des APIs d'IA, des outils d'analyse prédictive) doivent anticiper que leurs clients leur demanderont de démontrer la conformité du service au Règlement EU AI Act.

Ces prestataires doivent :

- Documenter clairement les risques associés à leur solution et les mesures de mitigation mises en place

- Fournir à leurs clients les informations nécessaires pour évaluer la conformité du service à leur utilisation spécifique

- Mettre en place des contrats clairs définissant les responsabilités respectives

- Faciliter l'audit et l'inspection par les autorités compétentes

Les prestataires qui ne se préoccupent pas de la conformité au Règlement risquent de perdre leurs clients, qui devront trouver des solutions conformes pour continuer à opérer légalement.

L'impact sur les écosystèmes de startups et d'innovation

Le Règlement EU AI Act entraîne une augmentation du coût de conformité et de la complexité réglementaire. Cela peut favoriser les grandes entreprises disposant des ressources pour gérer cette charge, tout en complexifiant la vie des startups naissantes.

Cependant, le Règlement prévoit également certains allègements pour les microentreprises et petites entreprises, notamment dans le contexte de l'évaluation de conformité des systèmes à haut risque. De plus, le cadre de certitude réglementaire créé par le Règlement peut favoriser l'innovation en réduisant l'incertitude juridique.

Les startups françaises d'IA doivent commencer dès maintenant à intégrer les exigences du Règlement dans leur approche de développement, afin que la conformité ne devienne pas un obstacle à la croissance.

Les bonnes pratiques pour assurer la conformité continue

La mise en place d'une gouvernance interne de l'IA

Au-delà de la simple conformité formelle au Règlement, les entreprises devraient mettre en place une véritable gouvernance interne de l'IA garantissant que la conformité est maintenue de manière continue :

- Nomination d'un responsable IA : Désignation d'une personne ou d'une équipe responsable de l'application du Règlement au sein de l'entreprise, avec des ressources et une autorité adéquates

- Politiques et procédures internes : Établissement de politiques claires sur le développement et l'utilisation de systèmes d'IA conformes aux exigences du Règlement

- Processus d'approbation : Mise en place d'un processus formel d'approbation pour tout nouveau système d'IA avant son déploiement, impliquant des vérifications de conformité

- Audits périodiques : Réalisation d'audits internes réguliers pour vérifier que les systèmes existants demeurent conformes aux exigences du Règlement

- Formation continue : Mise à jour régulière des formations internes pour tenir compte des évolutions du Règlement et de sa jurisprudence

- Engagement communautaire : Participation aux forums et groupes d'échange sur la conformité au Règlement EU AI Act pour rester informé des meilleures pratiques émergentes

L'intégration de la conformité dans le processus de développement

La meilleure approche pour assurer la conformité est de l'intégrer dès les premières étapes du développement d'un système d'IA, plutôt que de tenter de se conformer après coup. Cela implique :

- L'évaluation des risques initiale : Avant de commencer le développement, évaluer si le système envisagé pourrait être interdit ou classé comme à haut risque

- La conception en tenant compte de la conformité (Compliance by Design) : Construire la conformité dans l'architecture du système dès le départ (par exemple, en mettant en place des mécanismes d'enregistrement et de traçabilité)

- Les tests de conformité réguliers : Intégrer des tests de conformité aux processus de test logiciel existants

- La documentation au cours du développement : Documenter les décisions de conception et les résultats des tests au fur et à mesure, plutôt que de reconstituer la documentation à posteriori

Les ressources et l'accompagnement pour les entreprises

L'accès à l'expertise juridique et technique

Compte tenu de la complexité du Règlement EU AI Act, les entreprises ont intérêt à s'entourer d'experts pour assurer la conformité. Plusieurs ressources sont disponibles :

- Les cabinets juridiques spécialisés : Des cabinets d'avocats d'affaires, comme celui de Guillaume Leclerc, possèdent l'expertise spécifique nécessaire pour conseiller les entreprises sur la conformité au Règlement

- Les consultants en technologie et en IA : Des cabinets de conseil spécialisés en technologie peuvent aider à l'évaluation technique des systèmes et à l'adaptation des processus de développement

- Les organismes notifiés : Comme mentionné précédemment, les organismes notifiés procèdent à l'évaluation formelle de conformité pour les systèmes à haut risque

- Les associations professionnelles : Diverses associations professionnelles et sectorielles sont en train de développer des lignes directrices et des ressources spécifiques à leurs secteurs

Notre cabinet vous accompagne dans chaque étape de votre parcours de conformité au Règlement EU AI Act, du diagnostic initial à la mise en place des processus de conformité continue.

Les documents et ressources officielles

La Commission européenne et l'Office de l'IA européenne mettent progressivement à disposition des documents d'orientation, des codes de conduite, et d'autres ressources pour aider les entreprises à comprendre et à mettre en œuvre le Règlement. Ces ressources, disponibles sur les sites officiels de la Commission, doivent être régulièrement consultées à mesure qu'elles sont publiées.

Conclusion : Anticiper le changement pour sécuriser votre entreprise

Le Règlement EU 2024/1689 marque un tournant décisif dans la régulation de l'intelligence artificielle. Pour les entreprises françaises, cette nouvelle réglementation n'est pas une menace à contourner, mais une opportunité de renforcer la confiance dans leurs produits et services, de se différencier sur un marché de plus en plus conscient des enjeux éthiques, et de se préparer à un environnement réglementaire qui sera probablement d'inspiration pour d'autres juridictions à travers le monde.

L'approche graduée et basée sur les risques du Règlement est pragmatique et reconnaît que l'innovation en matière d'IA doit se poursuivre, mais de manière responsable et en protégeant les droits fondamentaux. Les entreprises qui anticipent et adoptent une approche proactive de la conformité découvriront que cette charge réglementaire, tout en substantielle, est gérable avec les bons conseils et les bonnes ressources.

Les étapes clés – audit des systèmes existants, classification des risques, mise en place de la gouvernance, documentation technique, évaluation tierce, et formation continue – doivent être entreprises dès maintenant pour que votre entreprise soit prête avant les dates d'application progressives du Règlement.

Notre cabinet vous accompagne dans chaque étape de ce parcours de conformité. Nous vous invitons à nous contacter pour discuter de la situation spécifique de votre entreprise et d'élaborer une stratégie de conformité adaptée à vos activités et à vos défis.

Pour aller plus loin : ressources complémentaires et conseils juridiques

Pour une compréhension approfondie des obligations imposées par le Règlement EU AI Act et pour mettre en place une stratégie de conformité robuste, l'entreprise doit prendre en compte plusieurs domaines connexes du droit applicable :

Concernant la structure et les termes de vos relations commerciales, nous vous recommandons de consulter notre guide complet sur la rédaction des conditions générales de vente et notre ressource détaillée sur la mise en place de contrats de prestation de services. Ces documents fondamentaux doivent être mis à jour pour intégrer les obligations liées à l'IA.

La protection des données devient un élément critique. Nous vous conseillons de prendre connaissance de notre guide complet sur les clauses de confidentialité et les obligations de protection des données, qui s'intersectent fortement avec la conformité au Règlement EU AI Act.

Un audit juridique complet de votre entreprise peut identifier les zones de vulnérabilité réglementaire et technologique que le Règlement EU AI Act pourrait exposer ou amplifier.

Si votre entreprise opère avec des actifs numériques ou des solutions logicielles, nous vous recommandons de consulter notre documentation approfondie sur le code source et la propriété intellectuelle, qui aborde également les enjeux de propriété des modèles d'IA.

Enfin, pour protéger les informations sensibles liées à vos systèmes d'IA et à vos stratégies technologiques, nous vous invitons à explorer notre ressource sur le secret des affaires et sa protection juridique.

Contact et accompagnement

Pour toute question spécifique concernant l'application du Règlement EU AI Act à votre situation, ou pour mettre en place une stratégie de conformité adaptée à votre entreprise, notre cabinet vous accompagne. Nos équipes disposent de l'expertise requise pour naviguer la complexité de cette nouvelle régulation et pour adapter vos processus de développement et d'exploitation de systèmes d'IA.

Article rédigé par Guillaume Leclerc, avocat d'affaires à Paris, 34 Avenue des Champs-Élysées. Spécialisé dans le droit de l'innovation, de la technologie et de la propriété intellectuelle, Guillaume Leclerc accompagne les entreprises françaises à travers les enjeux complexes de la régulation des technologies émergentes.