Guides & Ressources pratiques
EURL : choisir entre IR ou IS pour optimiser votre fiscalité
Artificial Intelligence Act Europe : obligations et calendrier
Points clés de l'article
- L'Artificial Intelligence Act Europe (règlement UE 2024/1689) est le premier cadre juridique mondial régissant l'intelligence artificielle ; il s'applique à tout fournisseur ou déployeur dont le système produit des effets dans l'UE.
- Le règlement classe chaque système d'IA selon 4 niveaux de risque : inacceptable, élevé, limité et minimal. Les obligations varient proportionnellement.
- Les systèmes à haut risque (RH, crédit, justice, infrastructures critiques) concentrent l'essentiel des exigences : gestion des risques, gouvernance des données, supervision humaine, documentation technique.
- Les modèles d'IA à usage général (GPAI), dont les grands modèles de langage, font l'objet de règles spécifiques de transparence et, pour les plus puissants, d'évaluations de risque systémique.
- Le calendrier s'étale de février 2025 (interdictions) à août 2027 (systèmes à haut risque intégrés dans des produits réglementés). Les sanctions peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires mondial.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Artificial Intelligence Act Europe : définition et portée du règlement
Champ d'application : quelles entreprises sont concernées ?
Classification des systèmes d'IA par niveau de risque
Obligations pour les systèmes d'IA à haut risque
Règles spécifiques aux modèles d'IA à usage général (GPAI)
Calendrier d'application : les échéances clés à anticiper
Sanctions en cas de non-conformité à l'AI Act
Mettre son entreprise en conformité : étapes opérationnelles
Artificial Intelligence Act Europe : définition et portée du règlement
L'Artificial Intelligence Act Europe, officiellement désigné règlement (UE) 2024/1689, est entré en vigueur le 1er août 2024. Adopté après 3 ans de négociations entre le Parlement européen, le Conseil et la Commission, il constitue le premier texte contraignant au monde à encadrer l'ensemble du cycle de vie des systèmes d'intelligence artificielle.
Son objectif est double. D'une part, protéger les droits fondamentaux, la santé et la sécurité des personnes exposées à des décisions automatisées. D'autre part, créer un cadre harmonisé dans les 27 États membres pour éviter la fragmentation réglementaire. Le texte couvre 113 articles et 13 annexes. Il s'articule autour d'une logique de classification par niveau de risque, qui détermine l'intensité des obligations applicables à chaque système d'IA.
Pour les directions juridiques, le règlement impose un travail d'inventaire, de qualification et de mise en conformité qui ne peut pas attendre l'échéance finale de 2027 : plusieurs obligations s'appliquent dès février 2025.
Champ d'application : quelles entreprises sont concernées ?
Le règlement s'applique selon un critère d'effet territorial, comparable à celui du RGPD. Sont visés :
- Les fournisseurs (providers) qui développent ou font développer un système d'IA et le mettent sur le marché ou en service dans l'UE, quel que soit leur lieu d'établissement.
- Les déployeurs (deployers), c'est-à-dire les entreprises qui utilisent un système d'IA sous leur autorité, dès lors que cette utilisation produit des effets dans l'UE.
- Les importateurs et distributeurs de systèmes d'IA commercialisés dans l'UE.
En pratique, une entreprise française qui utilise un outil de scoring RH alimenté par un algorithme de machine learning est qualifiée de déployeur, même si le fournisseur est basé aux États-Unis. La responsabilité de conformité pèse sur chaque acteur de la chaîne de valeur, à proportion de son rôle.
Sont exclus du champ : les systèmes d'IA utilisés à des fins purement militaires, les activités de recherche scientifique non commerciale et les usages personnels non professionnels.
Classification des systèmes d'IA par niveau de risque
Le cœur du règlement repose sur une pyramide de risque à 4 niveaux. Chaque système d'IA doit être classé selon l'usage auquel il est destiné, et non selon la technologie sous-jacente.
| Niveau de risque | Exemples de systèmes | Régime applicable |
|---|---|---|
| Inacceptable | Notation sociale généralisée, manipulation subliminale, reconnaissance faciale en temps réel dans l'espace public (sauf exceptions) | Interdiction totale |
| Élevé | Tri de CV, scoring de crédit, diagnostic médical assisté, identification biométrique à distance | Obligations renforcées (art. 6 à 49) |
| Limité | Chatbots, systèmes de génération de contenu (deepfakes), systèmes de reconnaissance d'émotions | Obligations de transparence |
| Minimal | Filtres anti-spam, jeux vidéo, systèmes de recommandation simples | Aucune obligation spécifique |
L'annexe III du règlement liste 8 domaines dans lesquels un système d'IA est présumé à haut risque : identification biométrique, gestion d'infrastructures critiques, éducation, emploi, accès aux services publics, forces de l'ordre, migration et justice. La direction juridique doit donc cartographier chaque outil d'IA utilisé en interne et vérifier s'il relève de l'un de ces domaines.
Un inventaire précis des systèmes d'IA déployés en interne est le préalable à toute mise en conformité avec l'AI Act.
Identifier un avocat spécialisé en intelligence artificielle
Obligations pour les systèmes d'IA à haut risque
Les systèmes classés à haut risque concentrent l'essentiel des exigences du règlement. Les obligations pèsent principalement sur le fournisseur, mais le déployeur conserve des responsabilités propres.
Obligations du fournisseur
- Système de gestion des risques (art. 9) : identification, évaluation et atténuation des risques tout au long du cycle de vie du système.
- Gouvernance des données (art. 10) : les jeux de données d'entraînement doivent être pertinents, représentatifs et exempts de biais dans la mesure du possible.
- Documentation technique (art. 11) : description détaillée du système, de ses performances, de ses limites et de ses conditions d'utilisation.
- Traçabilité (art. 12) : journalisation automatique des opérations (logging) permettant de reconstituer le fonctionnement du système.
- Supervision humaine (art. 14) : le système doit être conçu pour permettre une intervention humaine effective.
- Marquage CE et déclaration de conformité avant mise sur le marché.
Obligations du déployeur
Le déployeur doit utiliser le système conformément aux instructions du fournisseur, assurer la supervision humaine avec du personnel compétent, surveiller le fonctionnement du système et signaler tout incident grave à l'autorité nationale compétente. Lorsque le déployeur est un employeur, il doit informer les représentants du personnel avant le déploiement d'un système d'IA à haut risque sur le lieu de travail.
Règles spécifiques aux modèles d'IA à usage général (GPAI)
Le règlement crée une catégorie distincte pour les modèles d'IA à usage général (General-Purpose AI ou GPAI), c'est-à-dire les modèles entraînés sur de larges volumes de données et capables d'accomplir des tâches variées. Les grands modèles de langage (LLM) comme GPT-4 ou Mistral entrent dans cette catégorie.
Tous les fournisseurs de GPAI doivent :
- Rédiger et tenir à jour une documentation technique détaillée.
- Fournir des informations aux fournisseurs en aval qui intègrent le modèle dans un système d'IA.
- Respecter la directive droit d'auteur et publier un résumé des données d'entraînement utilisées.
Les modèles présentant un risque systémique — définis par un seuil de puissance de calcul d'entraînement supérieur à 10²⁵ FLOPS — sont soumis à des obligations supplémentaires : évaluation du modèle selon des protocoles standardisés, tests contradictoires (red teaming), notification des incidents graves à la Commission et mise en place de mesures de cybersécurité.
La qualification juridique d'un modèle GPAI et l'évaluation de son risque systémique nécessitent une analyse croisée technique et réglementaire.
Consulter un avocat en intelligence artificielle
Calendrier d'application : les échéances clés à anticiper
L'application du règlement est progressive. Chaque échéance déclenche un bloc d'obligations distinct.
| Date | Étape |
|---|---|
| 1er août 2024 | Entrée en vigueur du règlement |
| 2 février 2025 | Interdiction des pratiques à risque inacceptable (art. 5) ; obligations de culture de l'IA (AI literacy, art. 4) |
| 2 août 2025 | Application des règles sur les modèles GPAI (chapitre V) ; désignation des autorités nationales compétentes |
| 2 août 2026 | Application de l'ensemble des obligations pour les systèmes d'IA à haut risque (annexe III) |
| 2 août 2027 | Application aux systèmes d'IA à haut risque intégrés dans des produits déjà soumis à une législation sectorielle (annexe I : dispositifs médicaux, machines, jouets, etc.) |
La direction juridique doit donc établir un rétroplanning dès maintenant. Les interdictions sont déjà applicables depuis février 2025. Les entreprises utilisant des modèles GPAI en interne doivent vérifier la conformité de leurs fournisseurs avant août 2025.
Sanctions en cas de non-conformité à l'AI Act
Le régime de sanctions est calibré selon la gravité de l'infraction et la taille de l'entreprise.
| Type d'infraction | Amende maximale |
|---|---|
| Utilisation d'un système d'IA interdit (art. 5) | 35 M€ ou 7 % du CA annuel mondial |
| Non-respect des obligations pour systèmes à haut risque ou GPAI | 15 M€ ou 3 % du CA annuel mondial |
| Fourniture d'informations inexactes aux autorités | 7,5 M€ ou 1 % du CA annuel mondial |
Pour les PME et start-ups, le règlement prévoit des plafonds proportionnels : le montant retenu est le plus faible entre le pourcentage du CA et le montant fixe. Les autorités nationales de surveillance (market surveillance authorities) sont chargées du contrôle et peuvent ordonner le retrait d'un système non conforme du marché.
L'exposition financière justifie un audit de conformité anticipé, en particulier pour les systèmes déjà déployés dans des domaines à haut risque.
Structurer sa conformité AI Act avec un avocat spécialisé
Mettre son entreprise en conformité : étapes opérationnelles
La mise en conformité avec l'Artificial Intelligence Act Europe suit une séquence logique en 6 étapes.
Inventaire des systèmes d'IA : recenser tous les outils intégrant une composante d'IA, y compris les solutions SaaS tierces. Chaque outil doit être documenté avec son fournisseur, son usage et les données traitées.
Classification par niveau de risque : croiser chaque système avec l'annexe III et les critères de l'article 6 pour déterminer s'il relève du régime à haut risque.
Analyse d'écart (gap analysis) : comparer les pratiques actuelles (documentation, supervision humaine, gouvernance des données) avec les exigences du règlement.
Plan de remédiation : prioriser les actions correctives selon le calendrier d'application. Les systèmes relevant de pratiques interdites doivent être désactivés immédiatement. Les systèmes à haut risque doivent être conformes avant août 2026.
Gouvernance interne : désigner un responsable de la conformité IA, former les équipes concernées (obligation de AI literacy applicable depuis février 2025) et intégrer la conformité IA dans les processus d'achat et de validation des outils.
Suivi et mise à jour : le règlement impose une surveillance continue des systèmes à haut risque. La documentation technique et les évaluations de risque doivent être mises à jour à chaque modification du système.
FAQ
L'AI Act s'applique-t-il aux entreprises qui utilisent des outils d'IA sans les développer ?
Oui. Le règlement distingue le fournisseur (qui développe) du déployeur (qui utilise). Une entreprise qui utilise un outil de scoring RH ou un chatbot sous sa propre autorité est qualifiée de déployeur et supporte des obligations spécifiques : supervision humaine, surveillance du fonctionnement, information des salariés.
Comment savoir si un système d'IA est classé à haut risque ?
L'annexe III du règlement liste 8 domaines présumés à haut risque : emploi, crédit, éducation, biométrie, justice, migration, infrastructures critiques et accès aux services publics. Si le système d'IA est utilisé dans l'un de ces domaines et qu'il influence une décision affectant des personnes, il est présumé à haut risque sauf exception prévue à l'article 6§3.
Quelles sont les premières obligations déjà applicables en 2025 ?
Depuis le 2 février 2025, les pratiques d'IA à risque inacceptable sont interdites (notation sociale, manipulation subliminale). L'obligation de culture de l'IA (AI literacy) est également en vigueur : les entreprises doivent s'assurer que leur personnel dispose d'un niveau suffisant de compréhension des systèmes d'IA qu'il utilise.
Les PME bénéficient-elles d'aménagements ?
Le règlement prévoit des plafonds de sanctions proportionnels pour les PME. Il impose également aux États membres de mettre en place des regulatory sandboxes (bacs à sable réglementaires) permettant aux petites entreprises de tester leurs systèmes d'IA dans un cadre supervisé avant mise sur le marché.
Quel est le lien entre l'AI Act et le RGPD ?
Les deux textes se cumulent. Un système d'IA qui traite des données personnelles doit respecter simultanément le RGPD (base légale, minimisation, droits des personnes) et l'AI Act (classification, documentation, supervision). L'analyse d'impact relative à la protection des données (AIPD) prévue par le RGPD peut être articulée avec l'évaluation des risques exigée par l'AI Act.
Pour aller plus loin
Règlement (UE) 2024/1689 sur l'intelligence artificielle - EUR-Lex
Cadre réglementaire sur l'intelligence artificielle - Commission européenne
Entrée en vigueur du règlement européen sur l'IA : questions-réponses - CNIL
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
