les régulateurs face à l'ia : comprendre l'ia act pour votre entreprise

Par Ismail Abakar Adoum

l'intelligence artificielle (ia) est en passe de redéfinir notre économie et nos sociétés. face à la rapidité de son développement, l'union européenne a choisi de ne pas laisser le far west numérique s'installer. en adoptant le règlement sur l'ia, plus communément appelé l'ai act, l'ue se dote du premier cadre juridique international contraignant pour réguler cette technologie.[1, 2] ce texte, fruit d'un long processus législatif, s'appuie sur un principe fondateur unique : il ne régule pas la technologie en tant que telle, mais les risques que ses usages peuvent engendrer.[3]

cette approche, dite « par les risques », permet au règlement de rester pertinent face à l'évolution constante des applications d'ia. l'objectif est double : d'une part, protéger les droits fondamentaux des citoyens européens, tels que la sécurité, la vie privée et la non-discrimination.[1, 4] d'autre part, il vise à favoriser le développement et le déploiement d'une ia de confiance, pérenne et compétitive sur le marché intérieur et mondial.[1] en créant un environnement de sécurité juridique, l'ai act cherche à transformer la contrainte réglementaire en un avantage concurrentiel significatif pour les entreprises qui sauront anticiper et s'y conformer.

la mise en application du règlement, entre calendrier échelonné et fermeté politique

le règlement européen sur l'ia est une réalité juridique depuis sa publication au journal officiel de l'union européenne et son entrée en vigueur le 1er août 2024.[1, 4, 5] toutefois, la pleine application des obligations se fera de manière progressive et échelonnée sur plusieurs années, afin de laisser le temps nécessaire aux acteurs de s'adapter à ces nouvelles règles.[5, 6] un calendrier précis a été établi, marquant plusieurs échéances clés pour les entreprises et les régulateurs nationaux.

la première échéance significative est intervenue le 2 février 2025, six mois après l'entrée en vigueur, avec l'interdiction des systèmes d'ia présentant un risque inacceptable, considérés comme les plus dangereux.[5] ces pratiques incluent la notation sociale et certaines formes de manipulation subliminale.[3, 7] le 2 août 2025 marquera l'application des règles pour les modèles d'ia à usage général (gpai), une catégorie qui englobe les systèmes d'ia génératifs comme gpt-4 ou mistral ai.[5, 8] l'échéance la plus vaste, le 2 août 2026, concernera la plupart des dispositions pour les systèmes à haut risque listés à l'annexe iii du règlement, touchant des secteurs clés comme l'éducation et l'emploi.[5] enfin, le 2 août 2027 verra l'application des règles pour les systèmes à haut risque intégrés à des produits déjà réglementés, tels que les dispositifs médicaux et les véhicules.[4, 5]

ce calendrier a suscité des réactions contrastées. un collectif de 45 entreprises européennes, parmi lesquelles des géants comme airbus, siemens et des acteurs de l'ia comme mistral ai, a demandé une « pause » de deux ans dans l'application de l'ai act. leurs arguments portent sur les coûts de conformité élevés et la crainte que ces régulations ne freinent l'innovation en europe, laissant un avantage à leurs concurrents américains et chinois, moins soumis à des contraintes réglementaires.[8] cette fronde est une conséquence directe de la perception d'une complexité et d'un coût sans précédent du règlement, perçu comme un fardeau susceptible de nuire à la compétitivité.

la réponse de la commission européenne a été catégorique et inflexible. par la voix de ses porte-paroles, bruxelles a clairement affirmé qu'il n'y aurait « pas de pause » et que le calendrier légal serait respecté.[8] cette fermeté politique envoie un signal puissant : l'europe ne sacrifie pas la protection des droits fondamentaux et de ses valeurs sociétales au profit de considérations purement économiques. elle se positionne ainsi en tant que leader mondial de la régulation éthique des technologies, créant un clivage entre l'impératif de vitesse commerciale et celui de la protection citoyenne. l'entrée en vigueur progressive, notamment l'interdiction des systèmes à risque inacceptable dès le début de 2025, réfute l'idée qu'une "période de grâce" complète aurait été accordée aux entreprises, soulignant au contraire une application immédiate pour les cas les plus extrêmes.

calendrier de l'entrée en application de l'ai act
Échéance	Dispositions applicables	Systèmes concernés
1er août 2024	entrée en vigueur du règlement	toutes les dispositions du règlement sont en vigueur[4, 5]
2 février 2025	interdiction des systèmes présentant un risque inacceptable	systèmes d'ia de manipulation subliminale, de notation sociale, et d'exploitation des vulnérabilités[5, 7]
2 août 2025	application des règles pour les modèles d'ia à usage général (gpai)	modèles d'ia génératifs comme gpt-4 ou mistral ai[5, 8]
2 août 2026	application complète du règlement pour les systèmes à haut risque	systèmes listés à l'annexe iii (éducation, emploi, justice, etc.)[5]
2 août 2027	application des règles pour les systèmes à haut risque intégrés dans des produits réglementés	dispositifs médicaux, véhicules, jouets, etc.[4, 5]

comprendre la classification des risques : la pierre angulaire de votre conformité

la pierre angulaire de l'ai act est son système de classification des systèmes d'ia en fonction du risque qu'ils présentent.[9] cette approche pragmatique permet de ne pas entraver le développement des innovations les moins dangereuses. pour les entreprises, cette classification n'est pas une simple formalité juridique, mais la première étape cruciale et stratégique pour déterminer l'ensemble de leurs obligations de conformité. une erreur de qualification peut entraîner des conséquences juridiques et financières majeures. le règlement distingue quatre catégories de risque principales, plus une nouvelle catégorie spécifique aux modèles d'ia à usage général.

la première catégorie est celle des systèmes à risque inacceptable. considérés comme une menace pour les valeurs et les droits fondamentaux de l'union européenne, ces systèmes sont strictement interdits.[7] leur interdiction est totale et ne permet aucune possibilité de mise en conformité.[7] les exemples incluent les systèmes de « notation sociale » (social scoring) ou l'exploitation des vulnérabilités de certaines personnes (comme les enfants ou les personnes handicapées) pour influencer leur comportement de manière nuisible.[3, 4]

la catégorie des systèmes à haut risque est au cœur du règlement.[6] ces systèmes ne sont pas interdits, mais font l'objet d'un encadrement juridique rigoureux pour garantir leur sécurité, leur robustesse et le respect des droits fondamentaux.[7, 10] ils se divisent en deux groupes [9]: d'une part, les systèmes d'ia qui sont intégrés en tant que composants de sécurité dans des produits déjà soumis à une réglementation européenne (annexe i), comme les dispositifs médicaux, les véhicules ou les jouets.[9] d'autre part, les systèmes d'ia dont la finalité ou le cas d'usage est susceptible d'avoir un impact significatif sur la vie des personnes (annexe iii).[9, 11] cette dernière liste est particulièrement vaste et inclut l'ia utilisée dans le recrutement, l'évaluation de la solvabilité financière, l'accès aux services publics, le système de justice ou encore l'éducation.[10, 11] une consultation publique est d'ailleurs en cours pour clarifier la classification des systèmes à haut risque, ce qui souligne que la sécurité juridique totale n'est pas encore acquise et nécessite une veille réglementaire constante.

la troisième catégorie est celle des systèmes à risque limité. ils n'ont pas d'impact significatif sur la sécurité ou les droits fondamentaux, mais le règlement leur impose des obligations de transparence.[7] le déploiement de ces systèmes doit informer l'utilisateur qu'il interagit avec une ia.[4] cette obligation concerne les chatbots, les systèmes de reconnaissance des émotions ou encore les ia génératives qui produisent des contenus (images, vidéos) susceptibles d'être pris pour authentiques (deepfakes).[3, 7]

enfin, les systèmes à risque minimal ou nul constituent la majorité des applications d'ia sur le marché. ils ne sont soumis à aucune obligation spécifique au titre du règlement.[6, 7] les exemples typiques incluent les filtres anti-spam ou les jeux vidéo.[6, 12] bien que non réglementés, le texte encourage les acteurs à adopter de manière volontaire des codes de conduite afin de promouvoir une ia fiable et éthique, même dans ces systèmes.[7]

une nouveauté majeure du texte concerne les modèles d'ia à usage général (gpai), comme gpt-4, mistral ai, ou lama 3.[7] leurs fournisseurs sont soumis à des obligations de transparence, telles que la fourniture d'une documentation technique et d'un résumé détaillé des jeux de données d'entraînement, notamment pour garantir le respect des droits d'auteur.[3] les modèles les plus puissants, présentant un « risque systémique », doivent également procéder à des évaluations de modèles, à des tests contradictoires et assurer un niveau adéquat de cybersécurité.[6]

classification des systèmes d'ia selon l'ai act
Catégorie de risque	Principales obligations	Exemples d'application
inacceptable	strictement interdit, sans possibilité de mise en conformité	systèmes de notation sociale, manipulation subliminale, et certaines formes de reconnaissance biométrique[3, 7]
haut risque	exigences strictes: gestion des risques, documentation, surveillance humaine, marquage ce, etc.	recrutement, infrastructures critiques, dispositifs médicaux, systèmes de justice et d'éducation[9, 10, 11]
limité	obligation de transparence pour informer l'utilisateur	chatbots, deepfakes, systèmes de reconnaissance d'émotions[4, 7]
minimal ou nul	pas d'obligations spécifiques, mais adoption de codes de conduite encouragée	filtres anti-spam, jeux vidéo, applications sans impact significatif sur la sécurité ou les droits[7, 12]

les implications concrètes pour les entreprises : du défi de la conformité à l'avantage concurrentiel

le règlement sur l'ia a des implications profondes pour les entreprises. il ne concerne pas seulement celles qui développent des systèmes d'ia, mais aussi celles qui les déploient, et ce, qu'elles soient situées dans l'union européenne ou non, dès lors que leurs produits ou services sont utilisés sur le territoire européen.[4, 6] l'ai act instaure un régime de conformité `by design`, similaire à celui du rgpd, où les exigences ne sont pas une contrainte a posteriori, mais doivent être intégrées dès la conception du système.[1, 10, 13]

les obligations pour les fournisseurs de systèmes d'ia à haut risque sont particulièrement strictes.[9, 10] elles couvrent l'ensemble du cycle de vie du produit, de sa conception à sa mise sur le marché et son utilisation. les entreprises doivent mettre en place un cadre de gestion des risques continu, de la phase de développement à l'exploitation.[10] il est également obligatoire de constituer et de conserver pendant 10 ans une documentation technique détaillée, incluant la description du système, ses fonctionnalités et les mesures de sécurité intégrées.[10, 13] le règlement impose également une supervision humaine pour s'assurer que des décisions importantes ne soient pas prises uniquement par des machines et que le système puisse être ajusté ou arrêté si besoin.[10, 13] la transparence et la traçabilité sont essentielles, car les entreprises devront être en mesure de justifier et de documenter chaque décision prise par l'ia.[13] enfin, les systèmes à haut risque doivent obtenir un marquage ce prouvant leur conformité, ce qui peut devenir un signal de confiance majeur pour le marché.[10, 13]

le non-respect de ces obligations expose les entreprises à des sanctions sévères. les amendes peuvent atteindre des montants très élevés, jusqu'à 30 millions d'euros ou 6% du chiffre d'affaires annuel mondial pour le non-respect des interdictions.[10] la plupart des autres infractions aux exigences sont passibles d'amendes pouvant aller jusqu'à 15 millions d'euros ou 3% du chiffre d'affaires.[10] le règlement prévoit une clause de proportionnalité pour les pme et les startups, afin que les amendes restent adaptées à leur situation financière.[10] au-delà des sanctions financières, les autorités peuvent exiger le retrait d'un produit du marché, avec des conséquences bien plus lourdes en termes de perte de revenus et de dommages réputationnels.[10]

malgré ces contraintes apparentes, l'ai act représente une opportunité stratégique pour les entreprises.[1] en intégrant la conformité dès la conception, les entreprises non seulement évitent les sanctions, mais renforcent également leur crédibilité et leur compétitivité.[1] le marquage ce et la mise en place d'une ia éthique et transparente peuvent devenir des avantages concurrentiels déterminants, notamment pour les clients `b to b`, qui auront la garantie que les systèmes qu'ils déploient respectent les normes les plus élevées.[1] le règlement permet ainsi de construire une ia de confiance, qui répond aux attentes croissantes des consommateurs et des parties prenantes, et positionne l'entreprise comme un acteur responsable et innovant sur la scène européenne et mondiale.[1]

une feuille de route pour les entreprises : se préparer efficacement à l'ai act

pour les entreprises, la mise en conformité à l'ai act nécessite une approche structurée et proactive. une feuille de route claire peut être articulée en plusieurs étapes clés.

la première étape consiste à cartographier et à auditer tous les systèmes d'ia utilisés ou développés en interne. il est essentiel de les identifier et de les classer selon la pyramide des risques de l'ai act. cette évaluation initiale est la base de toute la stratégie de conformité, car elle détermine le niveau d'obligations qui s'appliquera à chaque système.

la deuxième étape est la mise en place d'une gouvernance dédiée à l'ia. la conformité ne peut pas être l'apanage d'une seule équipe, mais doit impliquer le comité exécutif pour une approche transversale.[13] la nomination d'un responsable de la conformité ia ou l'extension du rôle du délégué à la protection des données (dpo) à ces nouvelles exigences est une approche recommandée. cela montre un chevauchement entre la protection des données et la gouvernance de l'ia, ce qui exige que ces professionnels développent de nouvelles compétences techniques et juridiques pour répondre aux spécificités de l'ia, comme la détection des biais algorithmiques.[13, 14] la création de `digital factories` internes peut également faciliter un contrôle strict dès les premières phases de développement.[13]

la troisième étape est de tirer parti des outils d'accompagnement mis en place par les régulateurs. l'union européenne a prévu des dispositifs d'aide pour les pme et les startups, notamment les « bacs à sable réglementaires » (regulatory sandboxes).[4, 15] ces environnements de test contrôlés permettent d'expérimenter et de valider la conformité d'un système d'ia avant sa mise sur le marché, sans risquer de sanctions.[15] ils sont conçus pour réduire les obstacles d'accès au marché, augmenter la sécurité juridique et sont gratuits et prioritaires pour les pme.[15] c'est un exemple concret de la volonté des autorités de soutenir l'innovation tout en assurant la conformité, en créant un partenariat public-privé pour le développement d'une ia de confiance.

enfin, la quatrième et dernière étape est de former les équipes et d'intégrer les principes de l'ai act dans la culture d'entreprise. la réussite de la mise en conformité dépend de la sensibilisation de tous les collaborateurs, des développeurs aux équipes dirigeantes.[13] des sessions de formation sur les biais algorithmiques, la sécurité des données et les droits fondamentaux sont essentielles pour que l'ia act devienne un réflexe `by design` et non une simple contrainte juridique à laquelle on ne pense qu'en cas de problème.[13, 14]

conclusion : l'ia act, un levier de transformation plus qu'une simple contrainte

le règlement européen sur l'ia, malgré les critiques initiales de certains acteurs du secteur, n'est pas un frein à l'innovation, mais un cadre structurant et ambitieux. en régulant les usages et non la technologie, le texte maintient sa pertinence face à l'évolution rapide du secteur.[3] pour les entreprises, il transforme une simple obligation juridique en un véritable atout stratégique et éthique.

l'europe se positionne ainsi en tant que puissance normative mondiale, à l'image du rgpd, exportant un modèle qui concilie le développement technologique avec la protection des droits fondamentaux. les entreprises qui s'y conforment non seulement évitent de lourdes sanctions financières et réputationnelles, mais se dotent également d'un avantage compétitif sur l'ensemble de la scène internationale. l'ai act permet de construire une ia digne de confiance, un prérequis de plus en plus essentiel pour la pérennité et la réputation des entreprises de demain. la conformité devient une valeur ajoutée, un gage de fiabilité et un moteur de différenciation.

références

[1, 2] : Ces références renvoient aux bases de l'AI Act et à son statut de premier cadre juridique international contraignant. Sources : https://www.clubic.com/actualite-571608-bruxelles-inflexible-l-ai-act-entrera-bien-en-vigueur-malgre-le-refus-de-45-geants-de-la-tech.html et https://www.la-frenchtouch.fr/ia-act-comprendre-la-loi-europeenne-sur-lintelligence-artificielle/

[3] : Cette source explique l'approche de régulation par les risques de l'AI Act. Source : https://www.info.gouv.fr/actualite/quest-ce-que-lai-act

[1, 4] : Ces sources abordent les objectifs de l'AI Act en matière de protection des droits et de promotion de l'IA de confiance. Sources : https://www.clubic.com/actualite-571608-bruxelles-inflexible-l-ai-act-entrera-bien-en-vigueur-malgre-le-refus-de-45-geants-de-la-tech.html et https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil

[1] : Cette source se concentre sur les objectifs et le cadre de l'AI Act, y compris l'opportunité concurrentielle qu'il représente. Source : https://www.clubic.com/actualite-571608-bruxelles-inflexible-l-ai-act-entrera-bien-en-vigueur-malgre-le-refus-de-45-geants-de-la-tech.html

[1, 4, 5] : Ces références confirment l'entrée en vigueur de l'AI Act et son application progressive. Sources : https://www.clubic.com/actualite-571608-bruxelles-inflexible-l-ai-act-entrera-bien-en-vigueur-malgre-le-refus-de-45-geants-de-la-tech.html, https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil, et https://www.entreprises.gouv.fr/decryptages-de-nos-experts/le-reglement-europeen-sur-lintelligence-artificielle-publics-concernes

[5, 6] : Ces sources détaillent le calendrier de mise en œuvre progressive. Sources : https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil et https://naaia.ai/ia-act-liste-ia-a-haut-risque/

[3, 7] : Ces références décrivent les systèmes à risque inacceptable et les interdictions qui en découlent. Sources : https://www.info.gouv.fr/actualite/quest-ce-que-lai-act et https://artificialintelligenceact.eu/fr/high-level-summary/

[5, 8] : Ces sources mentionnent le calendrier pour les modèles d'IA à usage général (GPAI) et les débats sur leur réglementation. Sources : https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil et https://www.clubic.com/actualite-571608-bruxelles-inflexible-l-ai-act-entrera-bien-en-vigueur-malgre-le-refus-de-45-geants-de-la-tech.html

[5] : Cette source fournit des informations sur le calendrier d'application de l'AI Act. Source : https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil

[4, 5] : Ces références confirment l'entrée en vigueur de l'AI Act et son application progressive. Sources : https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil et https://www.entreprises.gouv.fr/decryptages-de-nos-experts/le-reglement-europeen-sur-lintelligence-artificielle-publics-concernes

: Ces sources détaillent la demande de "pause" de 45 entreprises européennes et la réponse de la Commission. Sources : https://www.clubic.com/actualite-571608-bruxelles-inflexible-l-ai-act-entrera-bien-en-vigueur-malgre-le-refus-de-45-geants-de-la-tech.html, https://www.clubic.com/actualite-571608-bruxelles-inflexible-l-ai-act-entrera-bien-en-vigueur-malgre-le-refus-de-45-geants-de-la-tech.html, et https://www.gifas.fr/press-summary/45-entreprises-europeennes-demandent-une-pause-dans-l-application-de-l-ai-act-juge-dangereux-pour-la-competitivite

[8] : Cette source se concentre sur la position de la Commission européenne face aux demandes de suspension de l'AI Act. Source : https://www.clubic.com/actualite-571608-bruxelles-inflexible-l-ai-act-entrera-bien-en-vigueur-malgre-le-refus-de-45-geants-de-la-tech.html

[9] : Ces références expliquent la classification des systèmes d'IA par niveau de risque. Sources : https://naaia.ai/ia-act-liste-ia-a-haut-risque/ et https://www.cliffordchance.com/insights/resources/blogs/talking-tech/en/articles/2023/04/the-eu-ai-act--concerns-and-criticism.html

[7] : Cette source donne un résumé de la classification des risques et des exemples d'applications. Source : https://artificialintelligenceact.eu/fr/high-level-summary/

[10] : Ces références détaillent les obligations de conformité pour les systèmes d'IA à haut risque et les sanctions en cas de non-respect. Source : https://www.rsm.global/france/fr/insights/decryptages/ai-act-comment-le-reglement-europeen-transforme-les-entreprises et https://aumans-avocats.com/eclairages-juridiques/droit-du-numerique-donnees-et-conformite/3-classifications-juridiques-des-systemes-dia-comprendre-les-categories-de-risque/

[9, 11] : Ces sources listent les types de systèmes considérés à haut risque selon l'Annexe III du règlement. Sources : https://naaia.ai/ia-act-liste-ia-a-haut-risque/ et https://artificialintelligenceact.eu/fr/annex/3/

[10, 11] : Ces références listent des exemples concrets de systèmes à haut risque. Sources : https://www.rsm.global/france/fr/insights/decryptages/ai-act-comment-le-reglement-europeen-transforme-les-entreprises et https://artificialintelligenceact.eu/fr/annex/3/

[4] : Ces références traitent de l'obligation de transparence pour les systèmes à risque limité. Source : https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil

[6, 7] : Ces sources expliquent que les systèmes à risque minimal ne sont pas réglementés, tout en encourageant des codes de conduite volontaires. Sources : https://naaia.ai/ia-act-liste-ia-a-haut-risque/ et https://artificialintelligenceact.eu/fr/high-level-summary/

[6, 12] : Ces références donnent des exemples de systèmes à risque minimal. Source : https://naaia.ai/ia-act-liste-ia-a-haut-risque/ et https://artificialintelligenceact.eu/fr/high-level-summary/

[4, 6] : Ces sources précisent que l'AI Act s'applique aux entreprises basées en dehors de l'UE si leurs systèmes sont utilisés sur le marché européen. Sources : https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil et https://naaia.ai/ia-act-liste-ia-a-haut-risque/

[1, 10, 13] : Ces références comparent la philosophie de l'AI Act à celle du RGPD. Sources : https://www.clubic.com/actualite-571608-bruxelles-inflexible-l-ai-act-entrera-bien-en-vigueur-malgre-le-refus-de-45-geants-de-la-tech.html, https://www.rsm.global/france/fr/insights/decryptages/ai-act-comment-le-reglement-europeen-transforme-les-entreprises, et https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil

[9, 10] : Ces sources abordent les obligations pour les fournisseurs de systèmes à haut risque. Sources : https://naaia.ai/ia-act-liste-ia-a-haut-risque/ et https://www.rsm.global/france/fr/insights/decryptages/ai-act-comment-le-reglement-europeen-transforme-les-entreprises

[13] : Cette source aborde la nécessité de la gouvernance et de la formation pour la conformité. Source : https://www.rsm.global/france/fr/insights/decryptages/ai-act-comment-le-reglement-europeen-transforme-les-entreprises

[13, 14] : Ces références expliquent l'importance de la formation et de la gestion du changement pour la mise en conformité. Sources : https://www.rsm.global/france/fr/insights/decryptages/ai-act-comment-le-reglement-europeen-transforme-les-entreprises et https://www.rsm.global/france/fr/insights/decryptages/ai-act-comment-le-reglement-europeen-transforme-les-entreprises

[4, 15] : Ces sources mentionnent la mise en place de bacs à sable réglementaires pour soutenir l'innovation. Sources : https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil et https://artificialintelligenceact.eu/fr/small-businesses-guide-to-the-ai-act/