Guides & Ressources pratiques
Indemnités de départ : guide complet pour les directions juridiques (licenciement, rupture conventionnelle, plan social)
IA Act : définition juridique et obligations pour l'entreprise
Points clés de l'article
- L'IA Act (règlement UE 2024/1689) est le premier cadre juridique contraignant au monde dédié à l'intelligence artificielle, applicable à toute entreprise opérant dans l'UE.
- Il classe les systèmes IA en 4 niveaux de risque : inacceptable, haut, limité et minimal, avec des obligations proportionnelles.
- L'entrée en vigueur est progressive : les interdictions s'appliquent dès février 2025, les obligations sur les systèmes à haut risque à partir d'août 2026.
- Le directeur juridique doit cartographier les systèmes IA utilisés, documenter leur conformité et articuler l'IA Act avec le RGPD.
- Les sanctions atteignent jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Définition et périmètre de l'IA Act : règlement UE 2024/1689
Classification des systèmes IA : 4 niveaux de risque
Calendrier d'application progressif jusqu'à août 2026
Obligations concrètes pour l'entreprise et le DJ
Articulation avec le RGPD et les autres textes européens
Sanctions, gouvernance et préparation à la conformité
Définition et périmètre de l'IA Act : règlement UE 2024/1689
L'IA Act — règlement (UE) 2024/1689 — constitue le premier texte législatif contraignant au monde consacré à la réglementation IA. Adopté le 13 juin 2024 par le Parlement européen et le Conseil, publié au Journal officiel de l'UE le 12 juillet 2024, il s'applique directement dans les 27 États membres sans transposition nationale.
Son périmètre est large. Le règlement européen sur l'intelligence artificielle vise tout système conçu pour fonctionner avec un degré d'autonomie variable et qui génère des résultats — prédictions, recommandations, décisions, contenus — pouvant influencer des environnements physiques ou virtuels. Cette définition couvre aussi bien un outil de tri de CV qu'un modèle de langage génératif ou un logiciel de scoring bancaire.
Le texte s'applique selon un critère territorial étendu : il concerne les fournisseurs qui mettent un système IA sur le marché de l'UE, les déployeurs établis dans l'UE, et même les fournisseurs ou déployeurs situés hors UE dès lors que les résultats produits par le système sont utilisés dans l'Union. Concrètement, une entreprise française qui utilise un outil IA développé aux États-Unis reste soumise au règlement IA.
Classification des systèmes IA : 4 niveaux de risque
Le cœur de l'IA Act Europe repose sur une approche graduée. Chaque système IA est classé selon le risque qu'il fait peser sur les droits fondamentaux et la sécurité des personnes.
| Niveau de risque | Exemples de systèmes | Régime applicable |
|---|---|---|
| Inacceptable | Notation sociale (social scoring), manipulation subliminale, identification biométrique en temps réel dans l'espace public (sauf exceptions) | Interdiction totale |
| Haut | Recrutement automatisé, scoring crédit, dispositifs médicaux IA, systèmes d'évaluation des élèves | Obligations renforcées : évaluation de conformité, gestion des risques, documentation technique, supervision humaine |
| Limité | Chatbots, deepfakes, systèmes de reconnaissance d'émotions | Obligations de transparence : informer l'utilisateur qu'il interagit avec une IA |
| Minimal | Filtres anti-spam, IA dans les jeux vidéo | Aucune obligation spécifique (bonnes pratiques encouragées) |
La classification « haut risque » s'applique selon 2 critères cumulatifs : le système relève d'un domaine listé à l'annexe III du règlement (emploi, éducation, justice, migration, infrastructures critiques, etc.) et il présente un risque significatif pour la santé, la sécurité ou les droits fondamentaux.
Calendrier d'application progressif jusqu'à août 2026
L'IA Act entrée en vigueur suit un calendrier échelonné sur 3 ans, conçu pour laisser aux entreprises le temps de se conformer par paliers.
| Date | Étape |
|---|---|
| 1er août 2024 | Entrée en vigueur du règlement |
| 2 février 2025 | Application des interdictions (risque inacceptable) et des règles de culture IA (AI literacy) |
| 2 août 2025 | Application des obligations relatives aux modèles d'IA à usage général (GPAI), dont les modèles de fondation |
| 2 août 2026 | Application complète, y compris les obligations sur les systèmes à haut risque |
Pour un directeur juridique, ce calendrier impose une priorisation claire : identifier dès maintenant les éventuels systèmes interdits, puis préparer la conformité des systèmes à haut risque avant août 2026.
Structurer la conformité IA de votre entreprise nécessite une expertise juridique croisée entre droit du numérique, RGPD et réglementation sectorielle.
Découvrir les avocats spécialisés en intelligence artificielle
Obligations concrètes pour l'entreprise et le DJ
La loi intelligence artificielle européenne distingue 2 catégories d'acteurs : les fournisseurs (qui développent ou mettent sur le marché un système IA) et les déployeurs (qui utilisent un système IA dans un cadre professionnel). Une même entreprise peut cumuler les 2 rôles.
Obligations des fournisseurs de systèmes à haut risque
- Mettre en place un système de gestion des risques documenté et mis à jour tout au long du cycle de vie du système.
- Garantir la qualité et la gouvernance des jeux de données d'entraînement.
- Rédiger une documentation technique détaillée, accessible aux autorités de surveillance.
- Assurer la journalisation automatique (logging) des opérations du système.
- Fournir des instructions d'utilisation claires aux déployeurs.
- Intégrer un mécanisme de supervision humaine effective.
- Procéder à une évaluation de conformité avant la mise sur le marché.
Obligations des déployeurs
- Utiliser le système conformément aux instructions du fournisseur.
- Garantir la supervision humaine par du personnel compétent.
- Réaliser une analyse d'impact sur les droits fondamentaux lorsque le système est à haut risque (obligatoire pour les organismes publics et certains acteurs privés).
- Informer les personnes concernées lorsque le système produit des décisions les affectant.
Pour le directeur juridique, la première action consiste à cartographier l'ensemble des systèmes IA utilisés dans l'entreprise — y compris ceux intégrés dans des logiciels tiers — puis à qualifier leur niveau de risque.
Articulation avec le RGPD et les autres textes européens
L'IA Act ne remplace pas le RGPD. Il s'y ajoute. Lorsqu'un système IA traite des données personnelles, les 2 textes s'appliquent simultanément. L'analyse d'impact relative à la protection des données (AIPD, article 35 du RGPD) et l'analyse d'impact sur les droits fondamentaux prévue par l'IA Act peuvent être conduites conjointement, mais elles répondent à des exigences distinctes.
Le règlement s'articule également avec :
- Le Digital Services Act (DSA) pour les systèmes de recommandation des plateformes.
- Le règlement Machines (UE 2023/1230) pour les systèmes IA embarqués dans des équipements industriels.
- La directive Responsabilité IA (en cours d'adoption) qui facilitera les recours civils en cas de dommage causé par un système IA.
Pour une direction juridique, cette superposition impose de coordonner les équipes conformité, DPO et RSSI afin d'éviter les doublons documentaires et les angles morts réglementaires.
Anticiper l'articulation entre IA Act et RGPD suppose un accompagnement juridique adapté à votre secteur et à vos systèmes.
Consulter un avocat spécialisé en intelligence artificielle
Sanctions, gouvernance et préparation à la conformité
Le régime de sanctions prévu par la loi IA est dissuasif et proportionné à la gravité de l'infraction.
| Type d'infraction | Amende maximale |
|---|---|
| Utilisation d'un système IA interdit | 35 M€ ou 7 % du CA mondial annuel |
| Non-respect des obligations sur les systèmes à haut risque | 15 M€ ou 3 % du CA mondial annuel |
| Fourniture d'informations inexactes aux autorités | 7,5 M€ ou 1 % du CA mondial annuel |
Chaque État membre doit désigner au moins une autorité nationale de surveillance. En France, la CNIL a été pressentie pour assurer ce rôle, en cohérence avec ses compétences existantes en matière de données personnelles et d'algorithmes.
Préparer la conformité : 4 étapes pour le DJ
- Inventorier tous les systèmes IA utilisés ou développés en interne.
- Classifier chaque système selon les 4 niveaux de risque du règlement.
- Documenter les mesures de gestion des risques, de supervision humaine et de transparence.
- Organiser la gouvernance interne : désigner un référent IA, former les équipes métier et coordonner avec le DPO.
Besoin d'un renfort juridique pour structurer votre mise en conformité IA Act ?
Accéder aux avocats spécialisés en intelligence artificielle
FAQ
L'IA Act s'applique-t-il aux entreprises qui utilisent des outils IA sans les développer ?
Oui. Le règlement IA distingue fournisseurs et déployeurs. Une entreprise qui utilise un système IA dans un cadre professionnel est qualifiée de déployeur et supporte des obligations propres, notamment en matière de supervision humaine et d'information des personnes concernées.
Quand les obligations sur les systèmes à haut risque entrent-elles en vigueur ?
Les obligations relatives aux systèmes IA à haut risque s'appliquent à compter du 2 août 2026. Toutefois, les interdictions visant les systèmes à risque inacceptable sont effectives depuis le 2 février 2025.
L'IA Act remplace-t-il le RGPD pour les systèmes d'intelligence artificielle ?
Non. Les 2 textes se cumulent. Lorsqu'un système IA traite des données personnelles, l'entreprise doit respecter simultanément le RGPD et l'IA Act. Les analyses d'impact prévues par chaque texte peuvent être menées conjointement.
Quels systèmes IA sont totalement interdits par l'IA Act ?
Le règlement interdit notamment les systèmes de notation sociale (social scoring), les dispositifs de manipulation subliminale exploitant des vulnérabilités, et l'identification biométrique à distance en temps réel dans l'espace public, sauf exceptions strictement encadrées (sécurité nationale, recherche de victimes).
Quel est le montant maximal des sanctions prévues par l'IA Act ?
L'amende la plus élevée atteint 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel de l'entreprise, le montant le plus élevé étant retenu. Ce plafond s'applique en cas d'utilisation d'un système IA interdit.
Pour aller plus loin
Entrée en vigueur du règlement européen sur l'IA : les premières questions-réponses - CNIL
AI Act : le règlement européen sur l'intelligence artificielle - Vie-publique.fr
Les fiches pratiques IA - CNIL
SWIM LEGAL est une alternative au cabinet d'avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l'Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d'accéder rapidement via la plateforme à des avocats d'affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu'il s'agisse d'un dossier, d'une consultation ou d'un renfort temporaire — de manière confidentielle et recevoir des propositions d'avocats pour répondre rapidement à leur demande.
