L'EU AI Act (Règlement (UE) 2024/1689) est le premier cadre juridique complet au monde dédié à l'intelligence artificielle. Il impose des obligations proportionnelles au niveau de risque des systèmes d'IA déployés ou commercialisés dans l'Union européenne, avec une application complète prévue au 2 août 2026.
Vous développez un chatbot, un outil de scoring RH, un algorithme de recommandation ? Vous êtes concerné. Voici tout ce que vous devez savoir — sans jargon inutile.
Pourquoi l'UE a-t-elle légiféré sur l'IA ?
Pourquoi réguler une technologie encore en pleine expansion ? La question mérite d'être posée. L'Europe a fait un choix stratégique : se positionner à mi-chemin entre le laisser-faire américain et l'encadrement étatique chinois. La Commission européenne a lancé les travaux dès avril 2021, sous l'impulsion de la commissaire Margrethe Vestager. Trois ans de négociations — parfois tendues — entre le Parlement, le Conseil et la Commission ont abouti à l'adoption définitive le 13 juin 2024.
L'objectif tient en deux mots : protéger et innover. Le considérant 1 du règlement le formule ainsi : établir « un cadre juridique uniforme » garantissant « un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux ». Autrement dit, l'Europe veut que ses citoyens profitent de l'IA sans en subir les dérives.
L'approche par niveau de risque : le cœur du dispositif
Toute l'architecture de l'AI Act repose sur un principe simple : plus votre système d'IA peut nuire, plus vos obligations sont lourdes. Quatre niveaux de risque, quatre régimes différents.
| Niveau de risque | Description | Exemples concrets | Ce que vous devez faire |
|---|---|---|---|
| Inacceptable | Systèmes interdits (art. 5) | Scoring social à la chinoise, manipulation subliminale, surveillance biométrique de masse en temps réel | Interdiction totale — vous ne pouvez pas y toucher |
| Haut risque | Impact significatif sur les personnes (Annexe III) | Outil de recrutement IA, scoring crédit automatisé, diagnostic médical assisté par IA | Conformité ex ante, documentation technique, évaluation d'impact, contrôle humain obligatoire |
| Risque limité | Obligations de transparence (art. 50) | Chatbots, générateurs de deepfakes, outils de rédaction IA | Informer clairement les utilisateurs qu'ils interagissent avec une IA |
| Risque minimal | Pas d'obligations spécifiques | Filtres anti-spam, jeux vidéo, recommandation produits e-commerce | Rien d'obligatoire — un code de conduite volontaire est encouragé |
Un exemple concret pour bien comprendre : si vous utilisez un chatbot pour votre service client — c'est du risque limité, vous devez juste prévenir vos utilisateurs. Mais si ce même chatbot prend des décisions de crédit, vous basculez dans le haut risque avec tout ce que ça implique.
Les systèmes d'IA interdits (article 5)
L'article 5 trace une ligne rouge. Ces pratiques sont purement et simplement prohibées depuis le 2 février 2025 — six mois après la publication au Journal officiel. Si vous utilisez l'un de ces systèmes, arrêtez maintenant.
- Manipulation subliminale : des systèmes qui exploitent des techniques inconscientes pour altérer votre comportement. Pensez à un dark pattern poussé à l'extrême par l'IA.
- Exploitation des vulnérabilités : des IA qui ciblent des personnes vulnérables — enfants, personnes âgées, personnes en situation de handicap — pour influencer leurs décisions.
- Scoring social : classer des individus en fonction de leur comportement social pour les pénaliser. Ce qui est tristement banal en Chine est interdit en Europe.
- Prédiction de récidive par profilage : des systèmes basés uniquement sur les traits de personnalité pour prédire un comportement criminel — sans éléments factuels objectifs.
- Moissonnage facial : constituer des bases de reconnaissance faciale en aspirant des images sur internet ou via la vidéosurveillance. Clearview AI, si vous lisez ceci...
- Reconnaissance des émotions au travail ou à l'école : sauf motifs médicaux ou de sécurité strictement encadrés.
- Catégorisation biométrique sensible : déduire la race, les opinions politiques ou l'orientation sexuelle à partir de données biométriques.
- Surveillance biométrique en temps réel dans l'espace public : sauf trois exceptions très encadrées — enlèvement d'enfant, menace terroriste imminente, recherche de suspects de crimes graves.
Systèmes à haut risque : les obligations détaillées
C'est le gros morceau du règlement — les articles 6 à 49. Deux catégories de systèmes à haut risque coexistent.
Première catégorie : les systèmes d'IA intégrés dans des produits déjà réglementés par l'UE — machines industrielles, dispositifs médicaux, jouets, ascenseurs. Listés à l'Annexe I du règlement.
Seconde catégorie : les systèmes autonomes listés à l'Annexe III, couvrant 8 domaines sensibles. Le recrutement et la gestion RH, l'accès au crédit et à l'assurance, l'éducation, les infrastructures critiques, la justice, l'immigration, les forces de l'ordre, et la biométrie.
Pour chaque système à haut risque, voici ce que vous devez mettre en place — et ce n'est pas négociable :
- Un système de gestion des risques (art. 9) : documenté, mis à jour en continu, pas un simple fichier Word oublié dans un dossier.
- Des exigences sur la qualité des données (art. 10) : vos données d'entraînement doivent être pertinentes, représentatives et auditées pour les biais. Oui, ça demande du travail.
- Une documentation technique complète (art. 11 + Annexe IV) : à préparer avant la mise sur le marché.
- Un enregistrement automatique des événements (art. 12) : la traçabilité totale des opérations du système.
- La transparence (art. 13) : une notice d'utilisation claire pour les déployeurs — pas un PDF de 200 pages que personne ne lira.
- Le contrôle humain (art. 14) : un humain doit pouvoir intervenir, comprendre et arrêter le système à tout moment.
- La robustesse et cybersécurité (art. 15) : votre système doit résister aux attaques et aux erreurs.
IA générative et modèles de fondation (GPAI)
Le Chapitre V introduit un régime spécifique pour les modèles d'IA à usage général — GPT-4, Claude, Gemini, Mistral et consorts. Ces obligations sont en vigueur depuis le 2 août 2025.
Tous les fournisseurs de modèles GPAI doivent fournir une documentation technique, respecter le droit d'auteur (directive 2019/790) et publier un résumé des données d'entraînement. Pour les modèles à « risque systémique » — ceux dont l'entraînement dépasse 10²⁵ FLOPS ou qui sont désignés par la Commission — les exigences montent d'un cran : évaluations adversariales, suivi des incidents graves, cybersécurité renforcée.
Concrètement, si vous fine-tunez un modèle open source pour un usage à haut risque, vous héritez des obligations de fournisseur. Quelque chose à garder en tête avant de lancer votre projet.
Pour approfondir les obligations concrètes par type d'entreprise, consultez notre guide des obligations par niveau de risque.
Calendrier d'application : les échéances à ne pas rater
L'AI Act ne tombe pas d'un bloc — et c'est tant mieux. L'application est progressive, sur 3 ans :
- 1er août 2024 : publication au Journal officiel de l'UE, entrée en vigueur formelle.
- 2 février 2025 : interdiction des pratiques prohibées (art. 5) et obligation de littératie IA (art. 4). C'est déjà passé — êtes-vous en règle ?
- 2 août 2025 : obligations pour les modèles GPAI (Chapitre V), désignation des autorités nationales de surveillance.
- 2 août 2026 : application complète pour les systèmes à haut risque de l'Annexe III. C'est LA date butoir pour la majorité des entreprises.
- 2 août 2027 : extension aux systèmes à haut risque intégrés dans des produits réglementés (Annexe I).
Retrouvez toutes les échéances dans notre calendrier détaillé de l'AI Act.
Les sanctions : ça pique
Le régime de sanctions est calqué sur le RGPD — en plus sévère pour les infractions les plus graves. Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites. Jusqu'à 15 millions ou 3 % du CA pour les autres violations. Les PME et start-ups bénéficient de plafonds réduits : c'est toujours le montant le plus bas entre le pourcentage et le montant fixe qui s'applique.
Pour une analyse détaillée, consultez notre page sur les sanctions et amendes de l'AI Act.
Comment vous préparer — concrètement ?
L'échéance du 2 août 2026 approche. Voici les actions à engager sans attendre :
- Cartographier tous les systèmes d'IA utilisés dans votre organisation — y compris ceux que vos employés utilisent « en douce » (shadow AI).
- Classifier chaque système selon les 4 niveaux de risque. Dans 85 % des cas, vous serez en risque minimal ou limité.
- Évaluer les écarts entre votre situation actuelle et les exigences applicables.
- Nommer un référent AI Act — souvent le DPO, parfois le CTO ou le responsable conformité.
- Documenter dès maintenant. La documentation technique prend du temps, et le temps passe vite.
Pour un plan d'action adapté aux petites structures, consultez notre guide de conformité PME en 10 étapes.
Questions fréquentes
Oui. Comme le RGPD, l'AI Act a une portée extraterritoriale (article 2). Il concerne tout fournisseur qui met un système d'IA sur le marché européen, quel que soit son lieu d'établissement. Il s'applique aussi aux déployeurs établis dans l'UE, et aux acteurs hors UE dès lors que le résultat produit par leur système est utilisé dans l'Union. OpenAI, Google, Meta — tous sont concernés.
Le RGPD réglemente le traitement des données personnelles. L'AI Act réglemente les systèmes d'intelligence artificielle eux-mêmes, indépendamment du type de données. Les deux sont complémentaires : un système d'IA qui traite des données personnelles doit respecter les deux textes simultanément. L'AI Act ajoute des obligations spécifiques — évaluation de conformité, contrôle humain, documentation technique — qui n'existent pas dans le RGPD.
Pas d'exemptions, mais des allègements significatifs. L'article 62 prévoit des bacs à sable réglementaires avec accès prioritaire pour les PME. Les amendes sont plafonnées au montant le plus bas (art. 99§5). La Commission doit fournir des modèles de documentation simplifiés. Et les organismes de certification doivent adapter leurs tarifs à la taille de l'entreprise.