Glossaire · Régulation IA européenne EU AI Act
Le premier cadre juridique global au monde pour l'intelligence artificielle. Classification fondée sur le risque, en vigueur depuis août 2024, avec d'importantes dispositions d'application déployées de 2025 à 2026.
## Ce que fait réellement le EU AI Act
Le EU AI Act (Règlement (UE) 2024/1689) est le premier cadre juridique global au monde régulant l'intelligence artificielle. Adopté en août 2024, il établit des exigences fondées sur le risque pour les systèmes d'IA en fonction de leur impact potentiel sur la sécurité, les droits fondamentaux et la société.
Le règlement s'applique :
- **Aux fournisseurs d'IA** — entreprises développant des systèmes d'IA mis sur le marché de l'UE
- **Aux déployeurs d'IA** — organisations utilisant des systèmes d'IA dans l'UE
- **Aux importateurs et distributeurs** — entités mettant des systèmes d'IA à disposition dans l'UE
Comme le RGPD, l'AI Act a un effet extraterritorial. Tout système d'IA dont la sortie est utilisée dans l'UE relève du règlement, indépendamment du lieu de développement de l'IA.
## Les quatre catégories de risque
L'AI Act classe les systèmes d'IA en quatre niveaux de risque :
### Risque inacceptable (interdit)
Les systèmes d'IA qui violent les droits fondamentaux ou présentent des menaces inacceptables sont entièrement interdits :
- Notation sociale par les gouvernements
- Identification biométrique en temps réel dans les espaces publics (avec exceptions étroites pour les forces de l'ordre)
- Manipulation de groupes vulnérables
- Reconnaissance des émotions sur les lieux de travail et dans les écoles
- Scraping non ciblé d'images faciales pour bases de données de reconnaissance faciale
### Risque élevé
Les systèmes d'IA utilisés dans des contextes critiques doivent répondre à des exigences strictes :
- Infrastructures critiques (eau, gaz, électricité, transport)
- Éducation et formation professionnelle
- Emploi et gestion des travailleurs
- Services privés et publics essentiels (notation de crédit, prestations sociales)
- Forces de l'ordre
- Migration, asile, contrôle des frontières
- Justice et processus démocratiques
Les systèmes à haut risque doivent faire l'objet d'évaluations de conformité, maintenir des systèmes de gestion des risques, garantir la qualité des données, fournir de la transparence aux utilisateurs et permettre une supervision humaine.
### Risque limité
Systèmes nécessitant des obligations de transparence :
- Chatbots — les utilisateurs doivent être informés qu'ils interagissent avec une IA
- Deepfakes — le contenu généré par IA doit être étiqueté
- Systèmes de reconnaissance des émotions (lorsque autorisés) — les utilisateurs doivent être informés
### Risque minimal
La grande majorité des applications d'IA — filtres anti-spam, IA dans les jeux vidéo, gestion d'inventaire. Aucune exigence réglementaire supplémentaire.
## Structure des sanctions
Les sanctions de l'AI Act sont substantielles :
- **Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial** (selon le montant le plus élevé) pour les pratiques d'IA interdites
- **Jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires** pour non-respect des exigences à haut risque
- **Jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires** pour la fourniture d'informations incorrectes aux autorités
Pour les PME et les startups, les amendes sont plafonnées à des seuils proportionnellement plus bas.
## Calendrier de conformité
Les dispositions de l'AI Act sont déployées sur plusieurs années :
- **Août 2024** : entrée en vigueur du règlement
- **Février 2025** : interdiction des pratiques d'IA prohibées
- **Août 2025** : exigences applicables aux modèles d'IA à usage général
- **Août 2026** : la plupart des autres dispositions entrent en application, y compris les exigences pour systèmes à haut risque
- **Août 2027** : applicabilité complète pour l'IA intégrée aux produits réglementés
Nous sommes actuellement dans la deuxième phase. Les principales actions d'application sont attendues fin 2026 et en 2027.
## Ce que cela signifie pour les entreprises européennes
Pour les organisations déployant l'IA en 2026 :
1. **Inventoriez vos systèmes d'IA.** Vous ne pouvez pas vous conformer à des règles dont vous ignorez l'application.
2. **Classez par niveau de risque.** La plupart des IA sont à risque minimal ; le travail significatif consiste à identifier quels systèmes relèvent des catégories à haut risque ou risque limité.
3. **Documentez tout.** La conformité à l'AI Act est fortement axée sur la documentation — gestion des risques, gouvernance des données, spécifications techniques.
4. **Pour les systèmes à haut risque**, planifiez les évaluations de conformité et les processus de marquage CE.
5. **Pour les fournisseurs d'IA à usage général**, examinez les obligations en matière de transparence, conformité au droit d'auteur et évaluations des risques systémiques.
## Pourquoi les fournisseurs d'IA européens sont bien positionnés
Les entreprises d'IA européennes (Mistral, Aleph Alpha) ont conçu leurs produits avec la conformité à l'AI Act dès le départ. Les fournisseurs d'IA établis aux États-Unis (OpenAI, Anthropic, Google) adaptent rétroactivement la conformité, souvent avec friction.
Cela crée une ouverture structurelle de marché similaire à l'effet du RGPD sur les fournisseurs cloud européens. Les outils d'IA résidant dans l'UE peuvent crédiblement vendre une « conformité à l'AI Act par architecture, pas par configuration » — un argument commercial significatif pour les entreprises européennes naviguant dans le règlement.
## Poids ouverts et souveraineté
Une disposition spécifique mérite d'être soulignée : les modèles d'IA à poids ouverts (Mistral 7B, Pharia, Llama, etc.) ont des obligations réglementaires un peu plus légères que les modèles fermés, en particulier pour la recherche universitaire et l'utilisation non commerciale.
Pour les organisations européennes ayant besoin d'un déploiement IA véritablement souverain, les options à poids ouverts de Mistral et Aleph Alpha permettent un hébergement on-premise sur infrastructure UE (Hetzner, Scaleway) — un schéma de déploiement que les fournisseurs américains à poids fermés ne peuvent structurellement pas offrir.
## À surveiller
- **Premières actions d'application majeures** attendues fin 2026 / 2027 — elles définiront les attentes pratiques de conformité
- **Code de pratique pour l'IA à usage général** — cadre volontaire en cours de négociation
- **Variations d'implémentation entre États membres** — chaque pays de l'UE doit désigner des autorités nationales
- **EU AI Office** — organe central de coordination façonnant l'interprétation entre États membres
L'AI Act est la régulation tech la plus importante depuis le RGPD. Traitez-le en conséquence.
Cela vous a-t-il été utile ?
Merci pour votre retour !