Acte IA (Règlement Européen sur l'Intelligence Artificielle)

Point clé : L'Acte IA de l'UE est le premier cadre juridique complet au monde pour l'intelligence artificielle. Il classe les systèmes d'IA par niveau de risque et impose des obligations contraignantes aux développeurs et aux déployeurs — avec des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial en cas de violation.

Qu'est-ce que l'Acte IA de l'UE ?

L'EU Artificial Intelligence Act (Règlement 2024/1689) est la législation phare de l'Union européenne régissant les systèmes d'intelligence artificielle dans tous les secteurs. Il est entré en vigueur le 1er août 2024 et s'applique pleinement à partir du 2 août 2026, certaines dispositions (notamment sur les IA interdites et la gouvernance) étant applicables dès février 2025.

L'Acte est un règlement, et non une directive — ce qui signifie qu'il s'applique directement et uniformément dans les 27 États membres de l'UE sans transposition nationale. Toute organisation qui met sur le marché de l'UE un système d'IA, le met en service dans l'UE, ou dont les résultats d'IA affectent des personnes dans l'UE est concernée, quel que soit son lieu de siège.

Pour les acheteurs en entreprise et les équipes de conformité, l'Acte IA n'est pas une préoccupation future — c'est une réalité opérationnelle actuelle qui exige des structures de gouvernance, une documentation et une diligence raisonnée vis-à-vis des fournisseurs dès aujourd'hui.

Comment ça fonctionne : L'Architecture de Base

L'Acte IA est structuré autour de quatre niveaux de risque, chacun entraînant des obligations de conformité différentes :

1. Risque inacceptable (Interdit) — Les utilisations de l'IA qui sont purement et simplement interdites, notamment la notation sociale par des autorités publiques, la surveillance biométrique à distance en temps réel dans les espaces publics (avec des exceptions limitées) et l'IA qui manipule les individus par des techniques subliminales (Article 5). Ces interdictions s'appliquent depuis février 2025.

2. Risque élevé — Systèmes d'IA utilisés dans des applications critiques telles que le recrutement, la notation de crédit, l'évaluation en éducation, les forces de l'ordre et les dispositifs médicaux (Annexe III). Ces systèmes sont soumis à la charge de conformité la plus lourde : évaluations de conformité, documentation technique, journalisation, surveillance humaine et enregistrement dans la base de données de l'UE.

3. Risque limité — Systèmes soumis à des obligations de transparence spécifiques, principalement les chatbots et les générateurs de deepfakes. Les utilisateurs doivent être informés qu'ils interagissent avec une IA.

4. Risque minimal — La grande majorité des applications d'IA (filtres anti-spam, moteurs de recommandation) relèvent de cette catégorie. Aucune obligation obligatoire, mais des codes de conduite volontaires sont encouragés.

Pourquoi Cela Importe pour les Entreprises

Toute entreprise opérant en Europe qui utilise, vend ou intègre des systèmes d'IA doit agir maintenant. Les obligations de l'Acte ne sont pas déclenchées au déploiement — elles commencent dès la phase de conception et d'approvisionnement. Les implications commerciales clés comprennent :

  • Diligence raisonnée vis-à-vis des fournisseurs : Les déployeurs de systèmes d'IA à haut risque doivent vérifier que les fournisseurs ont effectué des évaluations de conformité et tiennent à jour une documentation technique. Vous ne pouvez pas déléguer la conformité à un fournisseur et vous en désintéresser.
  • Gouvernance interne : Les entreprises doivent organiser une formation à la culture de l'IA, désigner des responsables et mettre en place des processus de surveillance pour les systèmes à haut risque en production.
  • Risque contractuel : Les accords commerciaux avec les fournisseurs d'IA doivent inclure des clauses couvrant la gouvernance des données, les droits d'audit et la notification des incidents pour s'aligner sur les obligations de l'Acte.
  • Obligations relatives aux modèles GPAI : Les organisations qui utilisent ou intègrent des modèles d'IA à usage général (y compris les grands modèles de langage) doivent s'assurer que les fournisseurs de ces modèles respectent les règles de transparence et de droit d'auteur prévues au Titre VIII de l'Acte.

Liste de Contrôle de Conformité : Préparation à l'Acte IA

  • Cartographier tous les systèmes d'IA utilisés dans l'organisation par rapport aux quatre niveaux de risque
  • Pour tout système à haut risque, obtenir la documentation technique et les dossiers d'évaluation de conformité auprès du fournisseur
  • Mettre en place des mécanismes de surveillance humaine pour les décisions d'IA à haut risque (Article 14)
  • Établir un processus de surveillance et de signalement des incidents
  • S'assurer que la formation à la culture de l'IA est en place pour le personnel qui déploie ou utilise des systèmes d'IA (Article 4, applicable depuis février 2025)
  • Réviser les contrats avec les fournisseurs d'IA pour inclure des clauses d'audit et de conformité
  • Enregistrer les systèmes d'IA à haut risque dans la base de données IA de l'UE une fois qu'elle sera opérationnelle
  • Évaluer si les modèles d'IA à usage général que vous utilisez ou fournissez nécessitent une documentation supplémentaire en vertu des Articles 53–55

Termes Associés

  • [link:/glossary/ai-risk-classification]
  • [link:/glossary/ai-conformity-assessment]
  • [link:/glossary/trustworthy-ai]
  • [link:/glossary/gdpr-and-ai]
  • [link:/glossary/ai-governance]