AI Act : le guide de reference pour comprendre la reglementation europeenne sur l IA
Le Reglement (UE) 2024/1689, plus connu sous le nom d AI Act, est le premier cadre juridique mondial sur l intelligence artificielle. Adopte le 13 juin 2024 et entre en vigueur le 1 aout 2024, il impose un ensemble d obligations gradue selon le niveau de risque des systemes d IA. Ce guide complet vous explique tout : champ d application, obligations, calendrier, sanctions, mise en conformite.
Depuis le 2 fevrier 2025, l Article 4 (AI Literacy) impose a toute entite utilisant ou deployant un systeme d IA de garantir un niveau suffisant de maitrise de l IA pour les personnes concernees. Ce n est plus optionnel. Les sanctions deviennent applicables le 2 aout 2026.
Qu est-ce que l AI Act ?
L AI Act est un reglement europeen (et non une directive), ce qui signifie qu il est directement applicable dans tous les Etats membres sans necessiter de transposition nationale. Il a ete propose par la Commission europeenne en avril 2021, adopte definitivement par le Parlement europeen et le Conseil en mai et juin 2024, et publie au Journal officiel de l UE le 12 juillet 2024 sous la reference Reglement (UE) 2024/1689.
Son objectif est double : proteger les droits fondamentaux, la sante, la securite et la democratie face aux risques poses par certains systemes d IA, tout en favorisant l innovation en offrant un cadre juridique previsible aux entreprises europeennes. Il s applique a tout systeme d IA mis sur le marche, mis en service ou utilise dans l Union europeenne, quel que soit le pays d origine du fournisseur.
Pourquoi l Europe a-t-elle legifere ?
L explosion des modeles generatifs en 2022-2023 (ChatGPT, Midjourney, Stable Diffusion) a accelere la prise de conscience politique. Plusieurs cas concrets ont alerte les regulateurs : biais discriminatoires dans des outils de recrutement, surveillance biometrique de masse, deepfakes politiques, manipulation des opinions. L Europe a fait le choix d un cadre prescriptif et risk-based, par opposition a l approche incitative des Etats-Unis et au modele plus dirigiste de la Chine.
Le texte de reference
L AI Act compte 113 articles et 13 annexes. Les annexes sont essentielles a la lecture du texte : l Annexe III liste les 8 domaines de systemes d IA a haut risque ; l Annexe IV definit le contenu de la documentation technique obligatoire ; l Annexe V precise la declaration UE de conformite. Le texte integral est consultable sur EUR-Lex.
Les 4 niveaux de risque definis par l AI Act
L AI Act repose sur une approche par les risques. Chaque systeme d IA est classe dans l une des quatre categories suivantes, qui determine le niveau d obligations applicable.
1. Risque inacceptable - INTERDIT
Pratiques contraires aux valeurs de l UE et aux droits fondamentaux. Interdites depuis le 2 fevrier 2025. Exemples : scoring social a la chinoise, manipulation subliminale, exploitation des vulnerabilites des personnes, identification biometrique a distance en temps reel dans l espace public (sauf exceptions tres strictes), reconnaissance des emotions au travail ou a l ecole, categorisation biometrique fondee sur des attributs sensibles.
2. Haut risque - Annexe III
8 domaines critiques : biometrie et identification ; gestion d infrastructures critiques ; education et formation ; emploi et gestion des travailleurs ; acces aux services essentiels ; application de la loi ; migration et controle aux frontieres ; administration de la justice et processus democratiques. Obligations completes : gestion des risques, qualite des donnees, documentation, transparence, supervision humaine, robustesse, marquage CE.
3. Risque limite - Transparence
Systemes d IA qui interagissent avec des humains (chatbots), generent du contenu (IA generative), produisent des deepfakes, ou systemes de reconnaissance des emotions hors haut risque. Obligation principale : informer clairement l utilisateur qu il interagit avec une IA ou que le contenu a ete genere par une IA. Article 50.
4. Risque minimal - Liberte
Tous les autres systemes : filtres anti-spam, systemes de recommandation, IA dans les jeux video, IA pour la maintenance predictive. Pas d obligations specifiques au titre de l AI Act, mais les bonnes pratiques sont encouragees.
La page dediee aux niveaux de risque detaille chaque categorie avec exemples concrets et critere de classification. Pour les systemes haut risque, voir notre page IA a haut risque.
Qui est concerne par l AI Act ?
L AI Act distingue plusieurs categories d acteurs, chacune ayant ses propres obligations. Comprendre votre statut est la premiere etape de votre mise en conformite.
Les 4 profils definis par le reglement
- Fournisseur (provider) : entite qui developpe un systeme d IA ou le fait developper, et le met sur le marche ou en service sous son propre nom. C est le profil le plus engageant : il porte la quasi-totalite des obligations techniques.
- Deployeur (deployer) : entite qui utilise un systeme d IA dans le cadre de son activite professionnelle. C est le profil le plus large, et celui qui concerne la majorite des entreprises francaises. Une societe qui utilise un chatbot, un outil RH IA ou ChatGPT en interne est deployeur.
- Importateur : entite etablie dans l UE qui met sur le marche europeen un systeme d IA developpe hors UE. Doit verifier que le fournisseur etranger respecte ses obligations.
- Distributeur : tout autre acteur de la chaine de distribution. Obligations limitees mais reelles (verifier le marquage CE, conserver les documents).
L erreur la plus frequente est de croire que l AI Act ne concerne que les editeurs de logiciels d IA. Faux. Toute entreprise qui utilise un systeme d IA est deployeur et a des obligations a respecter, notamment l Article 4 (formation IA). Voir notre page qui est concerne par l AI Act pour un auto-diagnostic complet.
Les PME ne sont pas exemptees
Contrairement a une idee recue, les petites et moyennes entreprises ne sont pas exclues du champ d application de l AI Act. Elles beneficient de plafonds de sanctions reduits (proportionnes a leur chiffre d affaires) et d obligations adaptees, mais elles doivent respecter le coeur du reglement. La Commission europeenne et les autorites nationales ont mis en place des bacs a sable reglementaires pour aider les PME et startups a tester leurs systemes en conformite. Voir notre guide AI Act pour les PME.
Les obligations cles de l AI Act
Les obligations varient selon votre statut (fournisseur ou deployeur) et le niveau de risque du systeme. Voici les principales.
1. AI Literacy - Article 4 - DEJA EN VIGUEUR
L Article 4 impose a tout fournisseur ET deployeur d IA de prendre des mesures pour garantir, dans la mesure du possible, un niveau suffisant de maitrise de l IA pour les membres de leur personnel et les autres personnes qui exploitent ou utilisent les systemes d IA en leur nom. Cette obligation tient compte des connaissances techniques, de l experience, de l education et de la formation, ainsi que du contexte d utilisation.
Concretement : vous devez former vos equipes a l IA. Pas de format impose, pas de certification obligatoire, mais une preuve de formation documentee sera demandee en cas de controle. Cette obligation est en vigueur depuis le 2 fevrier 2025. Voir notre page detaillee AI Literacy et Article 4.
2. Documentation technique - Annexe IV
Pour les systemes a haut risque, le fournisseur doit constituer une documentation technique complete avant la mise sur le marche : description generale du systeme, finalite, methodes d entrainement, donnees utilisees, evaluation des performances, mesures de gestion des risques, instructions d utilisation. Cette documentation doit etre tenue a la disposition des autorites nationales pendant 10 ans.
3. Gestion des risques - Articles 9 a 15
Tout au long du cycle de vie du systeme : analyse des risques previsibles, mesures d attenuation, tests, evaluations, mises a jour. La gestion des risques doit etre documentee et iterative, pas un audit ponctuel.
4. Supervision humaine
Pour les systemes haut risque, des mesures de supervision humaine doivent etre prevues afin de prevenir ou minimiser les risques. L humain doit pouvoir comprendre, surveiller, interpreter et au besoin desactiver ou intervenir sur le systeme. C est un point critique pour les outils RH (recrutement, evaluation) qui ne peuvent jamais decider seuls du sort d un candidat ou d un salarie.
5. Transparence - Article 50
Les systemes a risque limite doivent informer clairement l utilisateur. Un chatbot doit signaler qu il est une IA, un contenu genere par IA doit etre marque (watermark, mention explicite), un deepfake doit etre identifie. Voir notre page Article 50 transparence AI Act.
6. Marquage CE pour les systemes haut risque
Les systemes d IA a haut risque relevent du regime du marquage CE classique : evaluation de conformite, declaration UE de conformite, apposition du marquage CE, enregistrement dans la base de donnees europeenne des systemes d IA a haut risque. Les autorites de surveillance du marche peuvent controler a tout moment.
L ensemble des obligations est detaille sur notre page obligations AI Act.
Le calendrier d application de l AI Act
L application de l AI Act est progressive. Toutes les obligations ne sont pas entrees en vigueur le meme jour : le legislateur europeen a prevu un echeancier qui s etale de 2024 a 2027.
| Date | Etape | Statut |
|---|---|---|
| 1 aout 2024 | Entree en vigueur du reglement | Passe |
| 2 fevrier 2025 | Interdictions + AI Literacy obligatoire (Article 4) | En vigueur |
| 2 aout 2025 | Obligations pour les fournisseurs GPAI | En vigueur |
| 2 aout 2026 | Application complete + sanctions nationales | A venir |
| 2 aout 2027 | Conformite totale tous systemes reglementes | A venir |
C est la date a laquelle les sanctions nationales deviennent applicables. A cette date, les autorites nationales (en France : la CNIL, la DGCCRF, l Arcom selon les sujets) pourront prononcer des amendes. Toute entreprise concernee doit etre conforme a cette date. Voir notre calendrier complet.
Quelles sanctions en cas de non-conformite ?
L AI Act prevoit un regime de sanctions inspire du RGPD, avec trois niveaux gradues selon la gravite du manquement.
| Type de manquement | Plafond fixe | Plafond proportionnel |
|---|---|---|
| Pratiques IA interdites | 35 millions d euros | 7 pourcent du CA mondial |
| Non-respect obligations haut risque ou GPAI | 15 millions d euros | 3 pourcent du CA mondial |
| Informations incorrectes aux autorites | 7,5 millions d euros | 1 pourcent du CA mondial |
Les autorites nationales retiennent toujours le montant le plus eleve entre le plafond fixe et le pourcentage du CA. Pour les PME et startups, des plafonds proportionnes s appliquent. Le bareme detaille et les criteres d appreciation sont sur notre page sanctions AI Act.
L obligation de formation IA (AI Literacy)
C est l obligation la plus immediate et la plus large. Depuis le 2 fevrier 2025, l Article 4 impose a toute entite utilisant ou deployant un systeme d IA de garantir un niveau suffisant de maitrise de l IA pour les personnes concernees.
Qui doit etre forme ?
- Tous les collaborateurs qui utilisent un systeme d IA dans leur travail (meme ChatGPT en interne).
- Les decideurs qui valident l usage d un outil IA.
- Les responsables de la conformite et de la gouvernance.
- Les dirigeants qui portent la responsabilite globale.
A quel niveau ?
Le texte ne fixe pas de duree minimale ni de programme type. La formation doit etre proportionnelle au poste : un opacificateur de fonds qui traite quelques requetes ChatGPT par semaine n a pas besoin du meme programme qu un DPO charge de la conformite globale. L essentiel est de pouvoir prouver, en cas de controle, que vous avez forme vos equipes.
Voir notre page complete AI Literacy et Article 4 et nos formations AI Act dediees.
Comment se mettre en conformite avec l AI Act
La mise en conformite AI Act se decompose en cinq grandes etapes que toute entreprise peut suivre. Notre guide de mise en conformite detaille chaque etape avec une feuille de route operationnelle.
- Inventaire de tous les systemes IA utilises (y compris shadow AI : ChatGPT en navigateur, plugins, extensions).
- Classification de chaque systeme par niveau de risque selon les criteres de l AI Act.
- Formation des equipes au titre de l Article 4 (AI Literacy), avec documentation.
- Documentation et gouvernance : politique IA, procedures, registres, supervision humaine pour les systemes haut risque.
- Audit interne et amelioration continue : revue annuelle, tests, mise a jour de la documentation.
Questions frequentes
L AI Act remplace-t-il le RGPD ?
Non. L AI Act et le RGPD sont complementaires. Le RGPD protege les donnees personnelles, l AI Act regule les systemes d IA quel que soit le type de donnees. Les deux peuvent s appliquer simultanement. Voir AI Act vs RGPD.
Mon usage de ChatGPT en interne est-il concerne ?
Oui. Vous etes deployeur d un systeme GPAI. L Article 4 vous impose de former vos equipes. Voir notre page AI Literacy.
Existe-t-il une certification AI Act ?
Pas a ce jour pour la conformite AI Act stricto sensu. La norme ISO 42001 (systeme de management de l IA) est largement utilisee comme reference d implementation et permet de demontrer une demarche structuree.
Quelle est l autorite competente en France ?
Plusieurs autorites cohabitent : la CNIL pour le volet donnees personnelles, la DGCCRF pour la surveillance du marche, l Arcom pour les contenus generes par IA. La designation d une autorite chef de file est en cours.