Guides & Ressources pratiques
Prêt pour création d'entreprise sans apport : solutions possibles en 2026 et conditions d'accès
IA européenne : comprendre l'IA Act et ses impacts pour les entreprises
Points clés de l'article
- L'IA Act (règlement UE 2024/1689) est le premier cadre réglementaire au monde dédié à l'intelligence artificielle, entré en vigueur le 1er août 2024.
- Le règlement classe les systèmes d'IA selon 4 niveaux de risque : inacceptable, haut, limité et minimal, avec des obligations proportionnelles.
- Sont concernés les fournisseurs, importateurs, distributeurs et déployeurs de systèmes d'IA opérant sur le marché européen, y compris les entreprises établies hors UE.
- Les interdictions relatives aux pratiques à risque inacceptable s'appliquent dès le 2 février 2025 ; les obligations liées aux systèmes à haut risque entreront en vigueur le 2 août 2026.
- Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, selon la catégorie d'infraction.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
IA européenne : de quoi parle-t-on réellement ?
IA Act : le premier cadre réglementaire européen sur l'intelligence artificielle
Les 4 niveaux de risque définis par le règlement IA européen
Qui est concerné par l'IA Act ? Fournisseurs, importateurs, déployeurs
Calendrier d'application : les dates clés à anticiper
Obligations concrètes des entreprises (haut risque, IA générative, transparence)
Sanctions et risques en cas de non-conformité à l'IA Act
FAQ : règlement européen sur l'intelligence artificielle
IA européenne : de quoi parle-t-on réellement ?
L'expression IA européenne désigne à la fois l'écosystème technologique développé au sein de l'Union européenne et le cadre normatif qui l'encadre. Pour les directions juridiques, c'est la dimension réglementaire qui concentre les enjeux opérationnels : le règlement (UE) 2024/1689, dit IA Act, adopté le 13 juin 2024 par le Parlement européen et le Conseil.
Ce texte définit l'intelligence artificielle de manière fonctionnelle. Un système d'IA, au sens du règlement, est un système fondé sur une machine, conçu pour fonctionner avec des niveaux d'autonomie variables et capable de générer des résultats tels que des prédictions, des recommandations ou des décisions influençant des environnements physiques ou virtuels. Cette définition est volontairement large. Elle couvre aussi bien un algorithme de tri de CV qu'un modèle de langage génératif ou un système de détection de fraude.
Pour un directeur juridique, le périmètre d'application dépasse les seuls outils développés en interne. Tout système d'IA utilisé dans l'entreprise — qu'il soit acheté, loué ou intégré via un prestataire — entre potentiellement dans le champ du règlement.
IA Act : le premier cadre réglementaire européen sur l'intelligence artificielle
L'IA Act constitue le premier texte contraignant au monde consacré spécifiquement à la régulation de l'intelligence artificielle. Il s'inscrit dans la continuité du RGPD et de la stratégie numérique européenne, avec une logique similaire : harmoniser les règles au niveau de l'UE et imposer des obligations extraterritoriales.
Le règlement repose sur une approche par les risques, et non par la technologie. L'objectif n'est pas d'interdire l'IA, mais de proportionner les contraintes réglementaires à la gravité des atteintes potentielles aux droits fondamentaux, à la santé et à la sécurité. En pratique, cela signifie qu'un même outil peut relever de catégories différentes selon son usage. Un modèle de langage utilisé pour résumer des documents internes ne sera pas soumis aux mêmes obligations que ce même modèle intégré dans un dispositif de notation de crédit.
Le texte a été publié au Journal officiel de l'Union européenne le 12 juillet 2024. Son entrée en vigueur est fixée au 1er août 2024, avec une application échelonnée sur 36 mois.
Piloter la conformité IA Act suppose d'identifier précisément les systèmes d'IA utilisés dans l'entreprise et leur niveau de risque.
Consultez un avocat spécialisé en intelligence artificielle
Les 4 niveaux de risque définis par le règlement IA européen
Le règlement IA européen structure ses obligations autour de 4 niveaux de risque. Cette classification détermine directement les contraintes applicables à chaque système.
| Niveau de risque | Exemples de systèmes concernés | Régime applicable |
|---|---|---|
| Inacceptable | Notation sociale, manipulation subliminale, reconnaissance faciale en temps réel dans l'espace public (sauf exceptions) | Interdiction totale |
| Haut risque | Recrutement automatisé, scoring de crédit, dispositifs médicaux, systèmes biométriques | Obligations renforcées (évaluation de conformité, gestion des risques, documentation technique, supervision humaine) |
| Limité | Chatbots, systèmes de génération de contenu (deepfakes), IA générative | Obligations de transparence |
| Minimal | Filtres anti-spam, jeux vidéo, systèmes de recommandation de contenu | Pas d'obligation spécifique (code de conduite volontaire) |
La catégorie haut risque concentre l'essentiel des obligations. Elle couvre les systèmes d'IA listés à l'annexe III du règlement, répartis en 8 domaines : biométrie, infrastructures critiques, éducation, emploi, services essentiels, forces de l'ordre, migration et justice. Un système de tri automatisé de candidatures utilisé par une direction RH relève, par exemple, de cette catégorie.
Qui est concerné par l'IA Act ? Fournisseurs, importateurs, déployeurs
Le règlement ne vise pas uniquement les développeurs de technologies. Il distingue plusieurs catégories d'acteurs, chacune soumise à des obligations spécifiques.
- Fournisseur (provider) : toute personne physique ou morale qui développe ou fait développer un système d'IA et le met sur le marché ou en service sous son propre nom.
- Déployeur (deployer) : toute personne qui utilise un système d'IA sous sa propre autorité, sauf dans le cadre d'une activité personnelle non professionnelle. C'est la catégorie qui concerne la plupart des entreprises utilisatrices.
- Importateur : toute personne établie dans l'UE qui met sur le marché un système d'IA portant le nom d'un fournisseur établi hors UE.
- Distributeur : toute personne de la chaîne d'approvisionnement qui met un système d'IA à disposition sur le marché européen.
Un point de vigilance pour les directions juridiques : une entreprise qui modifie substantiellement un système d'IA acquis auprès d'un tiers peut être requalifiée en fournisseur, avec les obligations correspondantes. De même, une entreprise qui appose son nom ou sa marque sur un système d'IA existant endosse le statut de fournisseur.
Identifier le statut de votre entreprise au regard de l'IA Act est une étape préalable à toute démarche de conformité.
Faites le point avec un avocat en intelligence artificielle
Calendrier d'application : les dates clés à anticiper
L'application de l'IA Act est progressive. Le calendrier s'étale du 2 février 2025 au 2 août 2027, selon les catégories d'obligations.
| Date | Obligation applicable |
|---|---|
| 2 février 2025 | Interdiction des pratiques à risque inacceptable (art. 5) et obligations de culture IA (AI literacy, art. 4) |
| 2 août 2025 | Obligations applicables aux modèles d'IA à usage général (GPAI), y compris les modèles génératifs de type GPT |
| 2 août 2026 | Entrée en application des obligations pour les systèmes d'IA à haut risque listés à l'annexe III |
| 2 août 2027 | Application complète, y compris pour les systèmes à haut risque relevant de la législation d'harmonisation de l'UE (annexe I) |
L'obligation de culture IA (AI literacy), applicable dès février 2025, impose à toute entreprise utilisant des systèmes d'IA de veiller à ce que son personnel dispose d'un niveau suffisant de compréhension de ces outils. Cette exigence concerne toutes les catégories de risque, y compris les systèmes à risque minimal.
Obligations concrètes des entreprises (haut risque, IA générative, transparence)
Les obligations varient selon le niveau de risque et le statut de l'acteur. Voici les principales exigences pour les entreprises.
Pour les systèmes à haut risque :
- Mise en place d'un système de gestion des risques documenté et mis à jour
- Gouvernance des données d'entraînement, de validation et de test
- Documentation technique détaillée avant la mise sur le marché
- Enregistrement dans la base de données européenne des systèmes d'IA à haut risque
- Supervision humaine effective : un opérateur humain doit pouvoir comprendre, surveiller et interrompre le système
- Évaluation de conformité, réalisée par l'entreprise elle-même ou par un organisme notifié selon les cas
Pour l'IA générative et les modèles à usage général (GPAI) :
- Documentation technique et résumé du contenu utilisé pour l'entraînement
- Respect du droit d'auteur européen
- Les modèles présentant un risque systémique (seuil fixé à 10^25 FLOPS de calcul cumulé pour l'entraînement) sont soumis à des obligations supplémentaires : évaluation de modèle, tests adversariaux, signalement d'incidents graves
Pour tous les systèmes à risque limité :
- Information claire de l'utilisateur qu'il interagit avec un système d'IA
- Marquage des contenus générés artificiellement (deepfakes, textes, images)
La mise en conformité IA Act implique un travail transversal entre directions juridique, technique, RH et métiers.
Structurez votre démarche avec un avocat spécialisé
Sanctions et risques en cas de non-conformité à l'IA Act
Le régime de sanctions de l'IA Act est calibré sur le modèle du RGPD, avec des plafonds adaptés à la gravité des manquements.
| Type d'infraction | Amende maximale |
|---|---|
| Utilisation d'une pratique interdite (risque inacceptable) | 35 millions € ou 7 % du CA annuel mondial |
| Non-respect des obligations pour les systèmes à haut risque | 15 millions € ou 3 % du CA annuel mondial |
| Fourniture d'informations inexactes aux autorités | 7,5 millions € ou 1 % du CA annuel mondial |
Pour les PME et les start-ups, le règlement prévoit des plafonds réduits proportionnels. Chaque État membre désigne une ou plusieurs autorités nationales de surveillance. En France, la CNIL a été pressentie pour assumer ce rôle, en coordination avec d'autres régulateurs sectoriels.
Au-delà des amendes, le non-respect du règlement expose l'entreprise à des risques réputationnels et à des contentieux civils. Un salarié dont la candidature aurait été écartée par un système d'IA non conforme pourrait, par exemple, contester la décision devant les juridictions prud'homales en invoquant un défaut de transparence ou de supervision humaine.
FAQ : règlement européen sur l'intelligence artificielle
L'IA Act s'applique-t-il aux entreprises qui utilisent des outils d'IA sans les développer ?
Oui. Le règlement distingue les fournisseurs (développeurs) des déployeurs (utilisateurs professionnels). Une entreprise qui utilise un système d'IA sous sa propre autorité est qualifiée de déployeur et soumise à des obligations spécifiques, notamment en matière de supervision humaine et de transparence pour les systèmes à haut risque.
Comment savoir si un système d'IA utilisé dans mon entreprise est classé « haut risque » ?
L'annexe III du règlement liste 8 domaines dans lesquels les systèmes d'IA sont présumés à haut risque : recrutement, notation de crédit, biométrie, éducation, infrastructures critiques, forces de l'ordre, migration et justice. Si votre outil entre dans l'un de ces domaines et produit des décisions affectant des personnes, il relève probablement de cette catégorie.
Quelles sont les premières obligations à respecter dès 2025 ?
Depuis le 2 février 2025, les pratiques à risque inacceptable sont interdites (notation sociale, manipulation subliminale). L'obligation de culture IA (AI literacy) est également applicable : chaque entreprise utilisant des systèmes d'IA doit s'assurer que son personnel comprend suffisamment ces outils. En août 2025, les obligations relatives aux modèles d'IA à usage général entreront en vigueur.
L'IA Act concerne-t-il les entreprises situées hors de l'Union européenne ?
Oui, si le système d'IA est mis sur le marché ou utilisé dans l'UE, ou si ses résultats sont destinés à être utilisés dans l'UE. Le règlement a une portée extraterritoriale comparable à celle du RGPD.
Quel rôle la direction juridique doit-elle jouer dans la mise en conformité ?
La direction juridique pilote la cartographie des systèmes d'IA, la qualification des niveaux de risque, la revue des contrats fournisseurs et la coordination avec les directions métiers. Elle supervise également la documentation de conformité et la mise en place des mécanismes de supervision humaine exigés par le règlement.
Pour aller plus loin
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
