AI Act
Le règlement européen sur l'intelligence artificielle (UE 2024/1689) : classification des systèmes IA par niveau de risque, obligations et sanctions jusqu'à 35 M€ ou 7 % du CA mondial. Applicabilité générale au 2 août 2026.
L'AI Act (règlement UE 2024/1689) est le règlement européen sur l'intelligence artificielle — le premier cadre juridique horizontal au monde encadrant l'IA. Entré en vigueur le 1er août 2024, il classe les systèmes d'IA par niveau de risque et impose des obligations proportionnées à ce risque, avec une application échelonnée jusqu'au 2 août 2026 (applicabilité générale) et des sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial.
Une approche par le risque
L'AI Act ne régule pas la technologie en soi mais ses usages, répartis en quatre niveaux :
| Niveau | Exemples | Régime |
|---|---|---|
| Risque inacceptable | Notation sociale, manipulation comportementale, certaines biométries | Interdit (depuis février 2025) |
| Haut risque | Recrutement, scoring de crédit, biométrie, infrastructures critiques | Obligations strictes (documentation, supervision humaine, robustesse) |
| Risque limité | Chatbots, IA générative grand public | Obligations de transparence (informer l'utilisateur) |
| Risque minimal | Filtres anti-spam, jeux vidéo | Pas d'obligation spécifique |
S'ajoute un régime dédié aux modèles à usage général (GPAI) — les grands modèles de fondation type GPT, Claude, Mistral — avec des obligations renforcées pour ceux présentant un risque systémique.
Pourquoi c'est un sujet de direction, pas seulement de juriste
L'AI Act déplace la responsabilité vers l'organisation qui déploie l'IA, pas seulement vers celle qui la conçoit. Concrètement, une entreprise qui utilise un agent IA pour trier des candidatures ou décider d'un octroi de crédit entre dans le périmètre « haut risque » et doit pouvoir démontrer : une supervision humaine effective, une traçabilité des décisions, une information des personnes concernées. C'est exactement la logique de gouvernance que doivent intégrer les déploiements d'agents IA — savoir, pour chaque action automatisée, qui valide et qui répond.
Le calendrier à retenir
- Février 2025 : entrée en application des interdictions (pratiques à risque inacceptable).
- 2 août 2025 : obligations applicables aux modèles à usage général (GPAI).
- 2 août 2026 : applicabilité générale du règlement, incluant une large part des systèmes à haut risque.
Cette échéance fait de la mise en conformité un chantier à planifier en amont — cartographie des usages IA, classification par risque, mise en place de la supervision et de la documentation — plutôt qu'une réaction après contrôle.
Standards et spécifications
Règlement UE 2024/1689 (AI Act)
Texte officiel du règlement européen sur l'IA, en vigueur depuis le 1er août 2024, premier cadre juridique horizontal au monde sur l'intelligence artificielle
Questions fréquentes
Mon entreprise est-elle concernée par l'AI Act si elle ne développe pas d'IA ?
Oui, très probablement. L'AI Act distingue plusieurs rôles : le fournisseur (qui développe ou fait développer un système IA), le déployeur (qui utilise un système IA dans le cadre professionnel), l'importateur et le distributeur. La majorité des entreprises sont des déployeurs : dès lors que vous utilisez un outil d'IA pour recruter, scorer des clients, modérer du contenu ou prendre des décisions impactant des personnes, vous portez des obligations (information, supervision humaine, conservation des logs). Ne pas développer le modèle ne dispense pas des obligations liées à son usage.
Que change l'échéance du 2 août 2026 ?
L'application de l'AI Act est échelonnée. Les interdictions (notation sociale, manipulation, certaines biométries) s'appliquent depuis février 2025. Les obligations sur les modèles à usage général (GPAI) depuis le 2 août 2025. Le 2 août 2026 marque l'applicabilité générale du règlement, notamment pour une large part des systèmes à haut risque. C'est la date qui transforme la gouvernance de l'IA d'une bonne pratique en obligation légale opposable pour la plupart des organisations.
Quelles sont les sanctions en cas de non-conformité ?
Les amendes sont graduées selon la gravité. Le plafond le plus élevé concerne les pratiques interdites (article 5) : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les manquements aux obligations applicables aux systèmes à haut risque et aux modèles GPAI relèvent de plafonds inférieurs (15 M€ / 3 % et 7,5 M€ / 1,5 % selon les cas). L'ordre de grandeur est comparable au RGPD, ce qui en fait un risque financier de niveau comité de direction.