Guide complet

Le guide complet de la conformité à l'EU AI Act

Tout ce qu'il faut savoir sur la réglementation phare de l'Europe en matière d'IA. De la classification des risques aux exigences techniques, ce guide détaille ce que votre organisation doit savoir avant l'échéance d'application d'août 2026.

25 min de lecture

Mis à jour en janvier 2025

Validé par des experts

Télécharger la version PDF

Qu'est-ce que l'EU AI Act ?

L'EU Artificial Intelligence Act (Regulation (EU) 2024/1689) est le premier cadre juridique complet au monde pour l'intelligence artificielle. Adopté en juin 2024, il établit des règles harmonisées pour le développement, la mise sur le marché et l'utilisation des systèmes d'IA au sein de l'Union européenne.

La réglementation adopte une approche fondée sur le risque, classant les systèmes d'IA en quatre niveaux de risque avec des exigences proportionnées. Cela signifie que des obligations plus strictes s'appliquent aux systèmes d'IA qui présentent des risques plus élevés pour la santé, la sécurité ou les droits fondamentaux.

L'AI Act s'applique à :

Fournisseurs mettant des systèmes d'IA sur le marché de l'UE ou les mettant en service
Déployeurs utilisant des systèmes d'IA au sein de l'UE
Importateurs et distributeurs dans la chaîne d'approvisionnement de l'IA
Entités hors UE dont les résultats d'IA sont utilisés dans l'UE

La portée extraterritoriale signifie que les organisations situées hors de l'UE doivent se conformer si leurs systèmes d'IA affectent des personnes au sein des États membres de l'UE — à l'image de la manière dont le GDPR s'applique au traitement des données.

Dates clés et calendrier

L'EU AI Act suit une approche de mise en œuvre échelonnée, différentes dispositions devenant applicables à des moments différents pour permettre aux organisations de se préparer.

1 août 2024

Entrée en vigueur

L'EU AI Act est officiellement entré en vigueur

2 février 2025

Interdiction des IA prohibées

L'interdiction des systèmes d'IA à risque inacceptable prend effet

2 août 2025

Application des règles GPAI

Les règles relatives aux modèles d'IA à usage général deviennent applicables

2 août 2026

Application intégrale

Toutes les dispositions deviennent applicables, y compris les exigences pour l'IA high-risk

2 août 2027

Échéance pour les systèmes existants

Les systèmes d'IA high-risk existants doivent être mis en conformité

Échéance critique

Le 2 août 2026 marque le début de l'application intégrale pour les systèmes d'IA high-risk. Les organisations devraient engager leurs efforts de conformité dès maintenant pour respecter cette échéance. La plupart des programmes de conformité nécessitent 6 à 12 mois pour une mise en œuvre correcte.

Système de classification des risques

L'EU AI Act établit une pyramide de niveaux de risque, avec des exigences proportionnées au préjudice potentiel qu'un système d'IA pourrait causer. Comprendre la classification de votre système est la première étape vers la conformité.

Risque inacceptable

Entièrement interdit

Systèmes d'IA qui constituent une menace claire pour la sécurité, les moyens de subsistance ou les droits

•Notation sociale par les autorités publiques

•Identification biométrique en temps réel dans les espaces publics (avec exceptions)

•Manipulation de groupes vulnérables

•Exploitation de comportements inconscients

High Risk

Exigences de conformité strictes

Systèmes d'IA utilisés dans des domaines critiques susceptibles d'avoir un impact significatif sur les personnes

•Notation de crédit et décisions de prêt

•Recrutement et décisions RH

•Évaluations éducatives

•Application de la loi et contrôle des frontières

•Gestion des infrastructures critiques

Risque limité

Exigences de transparence

Systèmes d'IA soumis à des obligations spécifiques de transparence

•Chatbots et IA conversationnelle

•Systèmes de reconnaissance des émotions

•Générateurs de deep fakes

•Contenu généré par IA

Risque minimal

Codes de conduite volontaires

Systèmes d'IA sans exigence réglementaire spécifique

•Filtres anti-spam

•Jeux vidéo dotés d'IA

•Gestion des stocks

•La plupart des applications grand public

Pratiques d'IA interdites

L'AI Act interdit absolument certaines pratiques d'IA considérées comme présentant un risque inacceptable pour les droits fondamentaux. Ces interdictions sont entrées en vigueur le 2 février 2025.

Usages interdits (Article 5)

Manipulation subliminale causant un préjudice

Exploitation de groupes vulnérables

Notation sociale par les autorités publiques

Identification biométrique à distance en temps réel dans l'espace public (avec exceptions limitées)

Reconnaissance des émotions au travail/dans l'éducation (des exceptions s'appliquent)

Catégorisation biométrique sur des attributs sensibles

Extraction non ciblée pour des bases de reconnaissance faciale

Police prédictive fondée uniquement sur le profilage

Remarque : Certaines interdictions comportent des exceptions limitées pour les forces de l'ordre avec autorisation judiciaire préalable et pour des scénarios spécifiques de crimes graves. Les organisations devraient consulter un conseiller juridique pour les cas limites.

Systèmes d'IA high-risk

Les systèmes d'IA high-risk sont soumis aux exigences les plus complètes de l'AI Act. Ils sont définis aux Annexes I et III de la réglementation.

Catégories de l'Annex III

Systèmes biométriques

Identification biométrique à distance, catégorisation

Infrastructures critiques

Énergie, transport, eau, infrastructures numériques

Éducation et formation

Évaluation des étudiants, décisions d'accès, détection de fraude

Emploi

Recrutement, décisions RH, suivi des performances

Services essentiels

Notation de crédit, services d'urgence, éligibilité aux prestations

Application de la loi

Évaluation des risques, évaluation des preuves, analyse criminelle

Migration et frontières

Vérification des documents de voyage, traitement des visas

Justice et démocratie

Aide à la recherche juridique, appui judiciaire

Important : composants de sécurité

Les systèmes d'IA utilisés comme composants de sécurité dans des produits couverts par la législation d'harmonisation de l'UE (Annex I) sont automatiquement classés high-risk. Cela inclut l'IA dans les machines, les jouets, les dispositifs médicaux, les véhicules, l'aviation, les équipements marins, et plus encore.

Obligations par rôle

L'AI Act attribue des obligations différentes selon votre rôle dans la chaîne de valeur de l'IA. La plupart des organisations sont soit fournisseurs (qui développent l'IA), soit déployeurs (qui utilisent l'IA).

Fournisseurs

Organisations qui développent ou mettent des systèmes d'IA sur le marché

Mettre en place un système de gestion des risques

Assurer la gouvernance et la qualité des données

Créer la documentation technique

Permettre les capacités de supervision humaine

Atteindre l'exactitude et la robustesse requises

S'enregistrer dans la base de données de l'UE

Réaliser l'évaluation de la conformité

Déployeurs

Organisations utilisant des systèmes d'IA à titre professionnel

Utiliser les systèmes conformément aux instructions

Veiller à l'exercice de la supervision humaine

Surveiller les risques pendant l'exploitation

Conserver les journaux requis

Réaliser des analyses d'impact (pour le high-risk)

Informer les personnes concernées

Importateurs

Organisations introduisant sur le marché des systèmes d'IA hors UE

Vérifier l'évaluation de conformité du fournisseur

S'assurer que le marquage CE est apposé

Vérifier l'existence de la documentation technique

Vérifier que le fournisseur peut être contacté

Conserver la documentation pendant 10 ans

Distributeurs

Organisations de la chaîne d'approvisionnement (ni fournisseur ni importateur)

Vérifier le marquage CE avant la distribution

Vérifier que la documentation requise accompagne le système

S'assurer que le stockage/transport ne compromet pas la conformité

Coopérer avec la surveillance du marché

Exigences techniques pour l'IA high-risk

Les systèmes d'IA high-risk doivent satisfaire à des exigences techniques spécifiques tout au long de leur cycle de vie. Ces exigences constituent le cœur de ce que les fournisseurs doivent mettre en œuvre.

Système de gestion des risques

Article 9

Processus continu et itératif tout au long du cycle de vie du système d'IA

Identifier et analyser les risques connus et prévisibles

Estimer et évaluer les risques liés à l'utilisation prévue et à l'usage abusif

Mettre en œuvre des mesures d'atténuation des risques

Tester et valider les contrôles des risques

Gouvernance des données

Article 10

Garantir que les jeux de données d'entraînement, de validation et de test répondent à des critères de qualité

Données pertinentes, représentatives et exemptes d'erreurs

Propriétés statistiques appropriées

Prise en compte de contextes géographiques, contextuels ou comportementaux spécifiques

Détection et correction des biais

Documentation technique

Article 11, Annex IV

Documentation complète démontrant la conformité

Description générale du système d'IA

Spécifications de conception et architecture du système

Description des méthodologies d'entraînement

Procédures de validation et de test

Documentation de la gestion des risques

Tenue de registres

Article 12

Journalisation automatique des événements en cours d'exploitation

Permettre la traçabilité du fonctionnement du système d'IA

Identifier les risques et faciliter la surveillance après commercialisation

Journaux conservés pendant une période appropriée

Accessibles aux autorités compétentes

Transparence

Article 13

Permettre aux déployeurs d'interpréter et d'utiliser les sorties de manière appropriée

Instructions d'utilisation claires

Capacités et limites

Niveau d'exactitude attendu

Circonstances connues affectant les performances

Supervision humaine

Article 14

Permettre une intervention humaine efficace en cours d'exploitation

Comprendre les capacités et les limites du système

Surveiller l'exploitation et repérer les anomalies

Interpréter correctement les sorties

Outrepasser ou interrompre le fonctionnement du système

Exactitude, robustesse et sécurité

Article 15

Atteindre des niveaux de performance appropriés

Niveaux d'exactitude déclarés dans les instructions

Résilience aux erreurs et incohérences

Protection contre la manipulation (attaques adverses)

Cybersécurité tout au long du cycle de vie

Sanctions et application

L'EU AI Act prévoit des amendes administratives importantes en cas de non-conformité, selon une structure à plusieurs niveaux similaire au GDPR.

Niveau 1 : violations relatives aux IA interdites

Jusqu'à 35 millions € ou 7 % du chiffre d'affaires annuel mondial

Pour les violations impliquant des pratiques d'IA interdites (le montant le plus élevé étant retenu)

Niveau 2 : non-conformité aux exigences

Jusqu'à 15 millions € ou 3 % du chiffre d'affaires annuel mondial

Pour les violations des exigences relatives à l'IA high-risk ou des obligations GPAI (le montant le plus élevé étant retenu)

Niveau 3 : informations incorrectes

Jusqu'à 7,5 millions € ou 1,5 % du chiffre d'affaires annuel mondial

Pour la fourniture d'informations incorrectes ou trompeuses aux autorités (le montant le plus élevé étant retenu)

Considérations pour les PME

La réglementation comprend des dispositions pour les petites et moyennes entreprises. Pour les PME et les startups, les amendes sont calculées sur la base du montant le plus bas entre le pourcentage et le montant fixe. Les États membres sont également tenus de prévoir des bacs à sable réglementaires et des mécanismes de soutien.

Atteindre la conformité

Une approche systématique de la conformité à l'EU AI Act suit généralement ces phases. Les organisations devraient commencer dès maintenant pour être prêtes d'ici août 2026.

Découverte

Inventorier tous les systèmes d'IA dans toutes les unités opérationnelles

Classification

Évaluer les niveaux de risque selon les catégories de l'Annex III

Analyse des écarts

Identifier les écarts de conformité par rapport aux exigences

Remédiation

Mettre en œuvre des mesures techniques et de gouvernance

Calendrier type

La plupart des organisations ont besoin de 6 à 12 mois pour atteindre une conformité prête pour l'audit des systèmes d'IA high-risk. Cela comprend :

2 à 4 semaines pour la découverte et la classification initiales
4 à 8 semaines pour la mise en œuvre des exigences techniques
2 à 4 semaines pour la documentation et la mise en place de la gouvernance
Surveillance continue et amélioration permanente

Prêt à entamer votre parcours de conformité ?

Téléchargez notre checklist gratuite de 47 exigences ou échangez avec un expert sur les besoins de conformité spécifiques à votre organisation.

Ressources connexes

Checklist de conformité à l'EU AI Act

47 exigences au format checklist téléchargeable

Service de conformité à l'EU AI Act

Un accompagnement de bout en bout par des experts

Étude de cas : services financiers

Comment nous avons assuré la conformité de 47 systèmes d'IA

Ressources/Guide