Guides & Ressources pratiques
RGPD et site internet : toutes les obligations légales pour être conforme
IA Act : le règlement européen sur l'intelligence artificielle expliqué aux directions juridiques
Points clés de l'article
- L'IA Act (règlement UE 2024/1689) est le premier cadre juridique global régissant l'intelligence artificielle. Il s'applique à tout fournisseur ou déployeur de systèmes d'IA opérant dans l'UE.
- L'entrée en application est progressive : les interdictions s'appliquent depuis février 2025, les obligations sur les systèmes à haut risque s'appliqueront en août 2026.
- Le règlement classe les systèmes d'IA en 4 niveaux de risque (inacceptable, élevé, limité, minimal), chacun assorti d'obligations proportionnées.
- Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, selon l'infraction.
- La direction juridique doit cartographier les systèmes d'IA utilisés dans l'entreprise, qualifier leur niveau de risque et piloter la mise en conformité avant les échéances réglementaires.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Qu'est-ce que l'IA Act ? Définition et champ d'application
Calendrier d'entrée en vigueur : les échéances clés 2025-2027
Classification des systèmes d'IA par niveau de risque
Obligations pour les systèmes à haut risque (Annexe III)
Modèles d'IA à usage général (GPAI) : règles spécifiques
Articulation de l'IA Act avec le RGPD et les autres réglementations
Sanctions et contrôles : ce que risquent les entreprises
Plan d'action pour la direction juridique : 6 étapes vers la conformité
Qu'est-ce que l'IA Act ? Définition et champ d'application
L'IA Act, officiellement le règlement (UE) 2024/1689, constitue le premier texte législatif au monde à encadrer de manière transversale le développement, la mise sur le marché et l'utilisation des systèmes d'intelligence artificielle. Adopté le 13 juin 2024 par le Parlement européen et le Conseil, il est entré en vigueur le 1er août 2024.
Le règlement définit un « système d'IA » comme un système automatisé conçu pour fonctionner avec différents niveaux d'autonomie, capable de générer des résultats tels que des prédictions, des recommandations ou des décisions influençant des environnements physiques ou virtuels. Cette définition est volontairement large. Elle couvre aussi bien un algorithme de scoring de crédit qu'un outil de tri de CV ou un chatbot intégré à un service client.
Le champ d'application territorial suit une logique extraterritoriale comparable à celle du RGPD. L'IA Act s'applique à 3 catégories d'acteurs : les fournisseurs qui développent ou font développer un système d'IA mis sur le marché de l'UE, les déployeurs établis dans l'UE qui utilisent ces systèmes, et les fournisseurs ou déployeurs situés hors UE dont les résultats produits par le système sont utilisés dans l'Union. En pratique, toute entreprise française utilisant un outil d'IA — qu'il soit développé en interne ou acheté à un éditeur américain — entre dans le périmètre du règlement.
Calendrier d'entrée en vigueur : les échéances clés 2025-2027
L'application du règlement est échelonnée sur 3 ans pour laisser aux entreprises le temps de s'adapter. Chaque palier active un bloc d'obligations distinct.
| Échéance | Obligations activées |
|---|---|
| 2 février 2025 | Interdiction des pratiques d'IA à risque inacceptable (manipulation subliminale, scoring social, identification biométrique à distance en temps réel dans l'espace public sauf exceptions) |
| 2 août 2025 | Obligations applicables aux modèles d'IA à usage général (GPAI) ; désignation des autorités nationales compétentes |
| 2 août 2026 | Entrée en application des obligations pour les systèmes d'IA à haut risque listés à l'Annexe III |
| 2 août 2027 | Application complète, y compris les systèmes à haut risque intégrés dans des produits déjà soumis à une législation sectorielle (dispositifs médicaux, machines, jouets) |
La direction juridique doit retenir que les premières interdictions sont déjà en vigueur. Toute entreprise utilisant un système de notation sociale ou de manipulation comportementale par IA est d'ores et déjà en infraction.
Classification des systèmes d'IA par niveau de risque
Le cœur du règlement repose sur une approche graduée : les obligations imposées à chaque système d'IA dépendent du niveau de risque qu'il représente pour les droits fondamentaux et la sécurité des personnes.
| Niveau de risque | Exemples de systèmes | Régime applicable |
|---|---|---|
| Inacceptable | Scoring social, manipulation subliminale, reconnaissance faciale en temps réel (sauf exceptions) | Interdiction totale |
| Élevé | Tri de CV, scoring de crédit, diagnostic médical assisté, évaluation de risques en assurance | Obligations renforcées (conformité, documentation, supervision humaine) |
| Limité | Chatbots, deepfakes, systèmes de génération de contenu | Obligations de transparence (informer l'utilisateur qu'il interagit avec une IA) |
| Minimal | Filtres anti-spam, IA dans les jeux vidéo | Aucune obligation spécifique |
La qualification du niveau de risque n'est pas laissée à l'appréciation de l'entreprise. Elle résulte de critères objectifs définis par le règlement, en particulier l'Annexe III pour les systèmes à haut risque. C'est cette qualification qui détermine l'ensemble des obligations applicables. Une erreur de classification expose l'entreprise à des sanctions et à la mise hors service du système.
Qualifier le niveau de risque de chaque système d'IA utilisé dans l'entreprise est la première étape de toute démarche de conformité à l'IA Act.
Identifiez un avocat spécialisé en intelligence artificielle sur Swim Legal
Obligations pour les systèmes à haut risque (Annexe III)
L'Annexe III du règlement liste 8 domaines dans lesquels un système d'IA est présumé à haut risque : identification biométrique, gestion d'infrastructures critiques, éducation et formation professionnelle, emploi et gestion des travailleurs, accès aux services publics et privés essentiels, forces de l'ordre, migration et gestion des frontières, administration de la justice.
Pour chaque système qualifié de haut risque, le fournisseur doit respecter un ensemble d'exigences cumulatives :
- Système de gestion des risques : évaluation continue des risques liés à la santé, la sécurité et les droits fondamentaux, avec des mesures d'atténuation documentées.
- Gouvernance des données : les jeux de données d'entraînement doivent être pertinents, représentatifs et exempts de biais dans la mesure du possible.
- Documentation technique : description complète du système, de sa finalité, de ses performances et de ses limites, accessible aux autorités de contrôle.
- Traçabilité : journalisation automatique (logging) permettant de reconstituer le fonctionnement du système et les décisions prises.
- Transparence : notice d'utilisation claire à destination du déployeur, précisant les capacités et limites du système.
- Supervision humaine : le système doit être conçu pour permettre une intervention humaine effective, y compris la possibilité de désactiver ou corriger le système.
- Exactitude, robustesse et cybersécurité : niveaux de performance documentés et maintenus tout au long du cycle de vie.
Le déployeur (l'entreprise qui utilise le système) n'est pas exempt d'obligations. Il doit s'assurer que le système est utilisé conformément à sa notice, mettre en place la supervision humaine requise et réaliser, dans certains cas, une analyse d'impact sur les droits fondamentaux avant la mise en service.
Modèles d'IA à usage général (GPAI) : règles spécifiques
Le règlement crée une catégorie distincte pour les modèles d'IA à usage général (General Purpose AI ou GPAI), c'est-à-dire les modèles de fondation capables d'exécuter un large éventail de tâches. GPT-4, Gemini ou Mistral entrent dans cette catégorie.
Tout fournisseur de modèle GPAI doit respecter des obligations de base : rédiger une documentation technique, fournir des informations aux fournisseurs en aval qui intègrent le modèle dans leurs systèmes, mettre en place une politique de respect du droit d'auteur et publier un résumé du contenu utilisé pour l'entraînement.
Un régime renforcé s'applique aux modèles présentant un « risque systémique ». Le seuil retenu est un volume de calcul d'entraînement supérieur à 10²⁵ FLOPS. Ces modèles doivent faire l'objet d'évaluations de sécurité, de tests contradictoires (red teaming), d'une surveillance des incidents graves et d'un reporting auprès du Bureau européen de l'IA (AI Office).
Pour la direction juridique d'une entreprise utilisatrice, l'enjeu est contractuel : lors de l'acquisition d'un outil intégrant un modèle GPAI, il convient de vérifier que le fournisseur respecte ses obligations et de prévoir des clauses de garantie de conformité dans les contrats de licence.
L'intégration d'un modèle GPAI dans vos outils internes crée des obligations en cascade. Un audit contractuel permet de répartir les responsabilités entre fournisseur et déployeur.
Consultez un avocat en droit de l'intelligence artificielle
Articulation de l'IA Act avec le RGPD et les autres réglementations
L'IA Act ne remplace pas le RGPD. Il s'y ajoute. Lorsqu'un système d'IA traite des données personnelles — ce qui est le cas de la quasi-totalité des systèmes à haut risque — les 2 réglementations s'appliquent simultanément. L'analyse d'impact relative à la protection des données (AIPD) prévue par l'article 35 du RGPD et l'analyse d'impact sur les droits fondamentaux prévue par l'IA Act peuvent être conduites conjointement, mais elles répondent à des finalités distinctes.
Le règlement s'articule également avec d'autres textes européens récents :
- Le Digital Services Act (DSA) pour les plateformes utilisant des systèmes de recommandation algorithmique.
- Le Digital Markets Act (DMA) pour les gatekeepers intégrant des fonctionnalités d'IA.
- La directive sur la responsabilité en matière d'IA (en cours d'adoption), qui facilitera les actions en réparation des dommages causés par des systèmes d'IA.
- Le règlement Machines (UE) 2023/1230, applicable aux systèmes d'IA intégrés dans des équipements industriels.
La direction juridique doit adopter une lecture transversale de ces textes. Un même système d'IA peut simultanément relever de l'IA Act (pour sa classification et ses obligations), du RGPD (pour le traitement de données personnelles), du DSA (s'il est déployé sur une plateforme) et du droit du travail (s'il affecte les conditions d'emploi).
Sanctions et contrôles : ce que risquent les entreprises
Le régime de sanctions de l'IA Act est calibré pour être dissuasif. Il distingue 3 paliers selon la gravité de l'infraction :
| Type d'infraction | Amende maximale |
|---|---|
| Utilisation d'un système d'IA interdit (pratiques à risque inacceptable) | 35 M€ ou 7 % du CA annuel mondial |
| Non-respect des obligations relatives aux systèmes à haut risque ou aux modèles GPAI | 15 M€ ou 3 % du CA annuel mondial |
| Fourniture d'informations inexactes aux autorités | 7,5 M€ ou 1,5 % du CA annuel mondial |
Pour les PME et les start-ups, le règlement prévoit des plafonds proportionnels : c'est le montant le plus bas entre le pourcentage du CA et le montant forfaitaire qui s'applique.
Chaque État membre doit désigner une ou plusieurs autorités nationales compétentes avant le 2 août 2025. En France, la CNIL a été pressentie pour jouer un rôle central, en coordination avec d'autres régulateurs sectoriels. Au niveau européen, le Bureau de l'IA (AI Office), créé au sein de la Commission, supervise les modèles GPAI à risque systémique.
Les autorités disposeront de pouvoirs d'enquête, d'accès aux systèmes, de demande de documentation et d'injonction de retrait du marché. Le mécanisme rappelle celui du RGPD, avec une coopération entre autorités nationales et un mécanisme de cohérence européen.
Les sanctions de l'IA Act dépassent celles du RGPD pour les infractions les plus graves. Anticiper la conformité réduit le risque financier et opérationnel.
Faites-vous accompagner par un avocat spécialisé en IA
Plan d'action pour la direction juridique : 6 étapes vers la conformité
La mise en conformité avec l'IA Act ne peut pas être traitée comme un projet ponctuel. Elle suppose une gouvernance continue, pilotée par la direction juridique en coordination avec les équipes IT, conformité, RH et métiers.
Étape 1 : cartographier les systèmes d'IA de l'entreprise
Recenser tous les outils utilisant de l'IA, qu'ils soient développés en interne, achetés sur étagère ou intégrés dans des logiciels tiers (SaaS). Inclure les cas d'usage en test ou en proof of concept.
Étape 2 : qualifier le niveau de risque de chaque système
Appliquer la grille de classification du règlement (Annexe III) pour déterminer si chaque système relève du risque inacceptable, élevé, limité ou minimal. Cette qualification conditionne l'ensemble des obligations.
Étape 3 : vérifier la conformité des fournisseurs
Pour les systèmes achetés, auditer la documentation technique fournie par l'éditeur. Insérer dans les contrats des clauses de garantie de conformité à l'IA Act, de coopération en cas de contrôle et de notification des incidents.
Étape 4 : mettre en place la gouvernance interne
Désigner un référent IA Act au sein de la direction juridique. Définir les processus de validation avant déploiement d'un nouveau système, les mécanismes de supervision humaine et les procédures de signalement d'incidents.
Étape 5 : réaliser les analyses d'impact
Pour chaque système à haut risque, conduire une analyse d'impact sur les droits fondamentaux. Coordonner cette analyse avec l'AIPD du RGPD lorsque des données personnelles sont traitées.
Étape 6 : documenter et maintenir la conformité
Constituer un registre des systèmes d'IA, conserver la documentation technique, les résultats des analyses d'impact et les journaux de fonctionnement. Prévoir des revues périodiques pour intégrer les évolutions réglementaires et les mises à jour des systèmes.
La conformité à l'IA Act est un processus continu qui nécessite une expertise juridique spécialisée, en particulier pour la qualification des risques et la rédaction des clauses contractuelles.
Trouvez un avocat en droit de l'intelligence artificielle sur Swim Legal
FAQ
L'IA Act s'applique-t-il aux entreprises qui utilisent des outils d'IA sans les développer ?
Oui. Le règlement distingue les fournisseurs (qui développent le système) et les déployeurs (qui l'utilisent). Les déployeurs établis dans l'UE sont soumis à des obligations propres, notamment la supervision humaine, le respect des notices d'utilisation et, pour les systèmes à haut risque, la réalisation d'une analyse d'impact sur les droits fondamentaux.
Un outil de tri de CV par IA est-il considéré comme un système à haut risque ?
Oui. L'Annexe III du règlement classe explicitement dans la catégorie « haut risque » les systèmes d'IA utilisés pour le recrutement, le tri de candidatures, l'évaluation des candidats lors d'entretiens ou de tests, et les décisions relatives à la promotion ou à la résiliation de contrats de travail.
Quelle est la différence entre l'analyse d'impact de l'IA Act et l'AIPD du RGPD ?
L'AIPD du RGPD porte sur les risques liés au traitement de données personnelles. L'analyse d'impact de l'IA Act évalue les risques du système d'IA sur les droits fondamentaux au sens large (non-discrimination, liberté d'expression, dignité humaine). Les 2 analyses peuvent être menées conjointement, mais elles couvrent des périmètres distincts.
Les PME bénéficient-elles d'aménagements dans l'IA Act ?
Le règlement prévoit des plafonds de sanctions proportionnels pour les PME et les start-ups. Il impose également aux États membres de mettre en place des sandboxes réglementaires et des mesures de soutien pour faciliter la conformité des petites structures. Les obligations techniques restent toutefois identiques pour les systèmes à haut risque.
Quand faut-il commencer la mise en conformité ?
Dès maintenant. Les interdictions relatives aux pratiques à risque inacceptable sont en vigueur depuis le 2 février 2025. Les obligations sur les modèles GPAI s'appliquent à partir d'août 2025. La cartographie des systèmes d'IA et la qualification des risques doivent être engagées sans attendre l'échéance d'août 2026 pour les systèmes à haut risque.
Pour aller plus loin
AI Act : quels changements pour les entreprises ? - Service Public Entreprendre
Loi sur l'IA de l'UE : première réglementation de l'intelligence artificielle - Parlement européen
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
