Essentiels de l'EU AI Act(8 questions)
L'EU AI Act (Règlement (UE) 2024/1689) est la première loi complète et contraignante au monde sur l'intelligence artificielle. Il est entré en vigueur le 1er août 2024 et sa mise en œuvre s'échelonne jusqu'en 2028. Il s'applique aux fournisseurs, déployeurs, importateurs et distributeurs de systèmes d'IA dans l'UE -- y compris les entités de pays tiers dont la sortie IA est utilisée au sein de l'UE (portée extraterritoriale au titre de l'Art.2).
Source : Règlement (UE) 2024/1689, Journal Officiel L 2024/1689
L'AI Act classe les systèmes d'IA en quatre niveaux de risque :
- Risque inacceptable (Interdit) : Interdit purement et simplement -- notation sociale, manipulation subliminale, exploitation des vulnérabilités, identification biométrique à distance en temps réel dans les espaces publics (avec exceptions limitées)
- Haut risque (Annexe III) : Soumis à une évaluation de conformité obligatoire, une gestion des risques, une gouvernance des données, une transparence, une surveillance humaine, une précision et des exigences de cybersécurité
- Risque limité : Obligations de transparence uniquement (par ex., les chatbots doivent divulguer qu'ils sont des IA ; les deepfakes doivent être étiquetés)
- Risque minimal : Aucune obligation spécifique au titre de l'AI Act (mais les lois générales de l'UE s'appliquent toujours)
Source : EU AI Act Art.5 (interdit), Art.6 + Annexe III (haut risque), Art.50 (risque limité)
L'EU AI Act est mis en œuvre par phases :
- 2 février 2025 : Pratiques d'IA interdites (Art.5) et littératie IA (Art.4) -- déjà en vigueur
- 2 août 2025 : Obligations GPAI et dispositions de gouvernance
- 2 août 2026 : Obligations de transparence (Art.50) y compris la divulgation des chatbots, l'étiquetage des deepfakes, la divulgation de la reconnaissance des émotions
- 2 décembre 2027 : IA à haut risque de l'Annexe III (systèmes autonomes) -- reporté de 16 mois par l'accord Omnibus de mai 2026 par rapport à la date initiale d'août 2026
- 2 août 2028 : IA à haut risque intégrée dans des produits réglementés au titre de l'Annexe I (par ex., dispositifs médicaux, machines)
Source : EU AI Act Art.113 ; Règlement Omnibus de la Commission européenne (mai 2026)
Huit catégories d'IA sont interdites depuis le 2 février 2025 (Art.5) :
- Techniques subliminales, manipulatrices ou trompeuses causant un préjudice important
- Exploitation de l'âge, du handicap ou des vulnérabilités sociales/économiques
- Notation sociale par les autorités publiques (et acteurs privés produisant des effets similaires)
- Prédiction individuelle de crimes basée uniquement sur le profilage
- Extraction non ciblée d'images faciales sur internet ou via CCTV pour des bases de données de reconnaissance faciale
- Reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement (avec des exceptions restreintes)
- Catégorisation biométrique par attributs sensibles (race, religion, orientation sexuelle, opinions politiques)
- Identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives (avec des exceptions strictement limitées)
Source : EU AI Act Art.5(1)(a)-(h)
L'AI Act impose trois niveaux d'amendes administratives (Art.99) :
- Pratiques interdites : Jusqu'à 35 millions d'EUR ou 7 % du chiffre d'affaires mondial annuel total (le montant le plus élevé étant retenu)
- Non-conformité à haut risque : Jusqu'à 15 millions d'EUR ou 3 % du chiffre d'affaires mondial
- Informations incorrectes aux autorités : Jusqu'à 7,5 millions d'EUR ou 1,5 % du chiffre d'affaires mondial
Pour les PME et les start-ups, le montant le plus bas des deux s'applique. Les États membres peuvent également imposer des sanctions supplémentaires en vertu du droit national.
Source : EU AI Act Art.99(1)-(3)
Oui, si la sortie de votre système d'IA est utilisée au sein de l'UE. L'AI Act a une portée extraterritoriale (Art.2) : il s'applique aux fournisseurs qui mettent des systèmes d'IA sur le marché de l'UE, quel que soit leur lieu d'établissement, et aux déployeurs situés dans l'UE. Si vous êtes une entreprise non membre de l'UE dont le système d'IA produit des résultats utilisés par des personnes ou des entreprises au sein de l'UE, vous êtes soumis à l'AI Act.
Source : EU AI Act Art.2(1)
En mai 2026, la Commission européenne a adopté le Règlement Omnibus qui a reporté l'échéance de conformité pour les systèmes d'IA à haut risque de l'Annexe III de 16 mois -- du 2 août 2026 au 2 décembre 2027. Cela laisse aux fournisseurs et déployeurs de systèmes d'IA autonomes à haut risque davantage de temps pour se préparer. Cependant, les pratiques interdites (Art.5) et la littératie IA (Art.4) restent en vigueur depuis février 2025, et les obligations de transparence (Art.50) s'appliquent toujours à partir d'août 2026.
Source : Règlement Omnibus de la Commission européenne (mai 2026)
Le Bureau européen de l'IA est l'organe de la Commission responsable de l'application directe des obligations relatives aux modèles GPAI (IA à usage général). À partir du 2 août 2026, il dispose de pouvoirs pour enquêter sur les fournisseurs de GPAI, demander des informations, réaliser des évaluations et imposer des amendes. Pour toutes les autres obligations de l'AI Act, l'application est gérée par les autorités nationales de surveillance du marché désignées par chaque État membre de l'UE.
Source : EU AI Act Art.64-68
Littératie IA (Article 4)(4 questions)
L'Article 4 de l'EU AI Act exige de tous les fournisseurs et déployeurs de systèmes d'IA qu'ils veillent à ce que leur personnel et les autres personnes traitant de l'IA en leur nom disposent d'un niveau suffisant de littératie IA. Cette obligation est en vigueur depuis le 2 février 2025 et s'applique à TOUS les systèmes d'IA -- pas seulement à ceux à haut risque. La littératie IA désigne les compétences, les connaissances et la compréhension permettant une utilisation informée des systèmes d'IA, en tenant compte des droits et obligations des personnes concernées.
Source : EU AI Act Art.4, Art.3(56)
Toute organisation qui fournit ou déploie des systèmes d'IA dans l'UE doit assurer la littératie IA pour :
- Le personnel qui développe, déploie ou exploite des systèmes d'IA
- Le personnel qui prend des décisions basées sur les sorties d'IA
- La direction qui supervise la gouvernance de l'IA
- Toute autre personne traitant de l'IA au nom de l'organisation (y compris les sous-traitants et consultants)
Le niveau de formation doit être proportionné au contexte, en tenant compte des connaissances techniques des personnes concernées, du type de système d'IA et du secteur.
Source : EU AI Act Art.4
Bien que l'AI Act ne prescrive pas de programme spécifique, la littératie IA devrait couvrir :
- Une compréhension de base du fonctionnement des systèmes d'IA et de leurs limites
- Une prise de conscience des biais et risques potentiels dans les sorties de l'IA
- Une compréhension de quand et comment exercer une surveillance humaine
- La connaissance des politiques et procédures de l'IA au sein de l'organisation
- Une prise de conscience des implications en matière de protection des données (interaction avec le GDPR)
- Une compréhension des risques sectoriels liés à l'IA pertinents pour les activités de l'organisation
La formation doit être documentée et régulièrement mise à jour. Il n'existe aucun modèle gouvernemental -- les organisations doivent développer des programmes adaptés à leur contexte.
Source : EU AI Act Art.4 ; FAQ du Bureau européen de l'IA sur la littératie IA (2025)
Oui. Le non-respect de l'Art.4 peut entraîner des amendes allant jusqu'à 7,5 millions d'EUR ou 1,5 % du chiffre d'affaires mondial annuel (Art.99(3)). Cette obligation étant déjà en vigueur (depuis le 2 février 2025), les organisations devraient dès à présent disposer de mesures de littératie IA. L'application sera assurée par les autorités nationales de surveillance du marché.
Source : EU AI Act Art.99(3)
Transparence & Divulgation (Article 50)(3 questions)
À partir du 2 août 2026, l'Art.50 exige :
- Chatbots/IA conversationnelle : Les utilisateurs doivent être informés qu'ils interagissent avec un système d'IA (sauf si cela est évident au vu des circonstances)
- Deepfakes : Les images, sons ou vidéos générés ou manipulés par IA doivent être étiquetés comme générés ou manipulés artificiellement
- Reconnaissance des émotions : Les personnes doivent être informées lorsqu'un système de reconnaissance des émotions est utilisé sur elles
- Catégorisation biométrique : Les personnes doivent être informées lorsqu'un système de catégorisation biométrique est utilisé
- Texte généré par IA sur des sujets d'intérêt public : Doit être étiqueté comme généré par IA lorsqu'il est publié pour informer le public (par ex., articles d'actualité)
Source : EU AI Act Art.50(1)-(4)
Oui, à partir du 2 août 2026, si vous déployez un chatbot ou un système d'IA conversationnelle interagissant avec des personnes physiques, vous devez clairement divulguer qu'elles interagissent avec un système d'IA (Art.50(1)). La divulgation doit être effectuée de manière rapide, claire et intelligible -- avant ou au début de l'interaction. La seule exception est le cas où cela serait « évident pour une personne physique raisonnablement bien informée, attentive et avisée » qu'elle a affaire à une IA.
Source : EU AI Act Art.50(1)
Les déployeurs de systèmes d'IA générant du contenu audio, image, vidéo ou texte synthétique doivent :
- Marquer la sortie comme générée ou manipulée artificiellement dans un format lisible par machine lorsque cela est techniquement réalisable
- Divulguer aux personnes physiques que le contenu a été généré ou manipulé artificiellement
Cela s'applique aux deepfakes, aux images générées par IA, aux voix synthétiques et aux textes rédigés par IA publiés sur des sujets d'intérêt public. Le contenu artistique et satirique bénéficie d'exemptions, à condition que les droits fondamentaux ne soient pas affectés.
Source : EU AI Act Art.50(2)-(4)
IA à usage général (GPAI)(2 questions)
Un modèle GPAI est un modèle d'IA entraîné en utilisant une grande quantité de données par auto-supervision à grande échelle, qui présente une généralité significative et est capable d'exécuter avec compétence un large éventail de tâches distinctes (Art.3(63)). Cela inclut les grands modèles de langage (LLM) tels que GPT, Claude, Gemini et Llama. Les obligations GPAI s'appliquent à partir du 2 août 2025.
Source : EU AI Act Art.3(63), Art.51-56
Tous les fournisseurs de modèles GPAI doivent :
- Établir et tenir à jour la documentation technique
- Fournir des informations et de la documentation aux fournisseurs de systèmes d'IA en aval
- Établir une politique de conformité au droit européen du droit d'auteur (en particulier l'exclusion volontaire (opt-out) pour la fouille de textes et de données)
- Publier un résumé suffisamment détaillé du contenu des données d'entraînement
Les modèles GPAI présentant un risque systémique (entraînés avec >10^25 FLOPs ou désignés par le Bureau de l'IA) font face à des obligations supplémentaires, notamment des tests adversariaux, une surveillance des incidents, des mesures de cybersécurité et un reporting de la consommation d'énergie.
Source : EU AI Act Art.53-55
Systèmes d'IA à haut risque(4 questions)
Votre système d'IA est classé à haut risque s'il relève de l'une des deux catégories suivantes :
- Annexe I : IA intégrée dans des produits déjà soumis à la législation de l'UE sur la sécurité des produits (par ex., dispositifs médicaux, machines, jouets, ascenseurs, véhicules)
- Annexe III : Systèmes d'IA autonomes utilisés dans des domaines sensibles : identification biométrique, infrastructures critiques, éducation/formation, emploi/gestion des travailleurs, services essentiels (crédit, assurance, prestations publiques), application de la loi, migration/contrôle des frontières, justice/processus démocratiques
Remarque : les systèmes de l'Annexe III qui ne présentent pas de risque important de préjudice, ou qui remplissent des tâches purement procédurales/préparatoires, peuvent être exemptés (Art.6(3)).
Source : EU AI Act Art.6, Annexe I, Annexe III
Les fournisseurs d'IA à haut risque doivent mettre en œuvre :
- Un système de gestion des risques (Art.9) : processus continu tout au long du cycle de vie
- Une gouvernance des données (Art.10) : qualité, pertinence, représentativité des données d'entraînement
- Une documentation technique (Art.11) : description détaillée du système selon l'Annexe IV
- Une tenue de registres (Art.12) : enregistrement automatique des événements
- Une transparence (Art.13) : instructions claires d'utilisation
- Une surveillance humaine (Art.14) : mesures permettant une surveillance efficace par des personnes physiques
- Précision, robustesse, cybersécurité (Art.15)
- Une évaluation de la conformité (Art.43) : auto-évaluation pour la plupart ; tiers pour l'identification biométrique et la sécurité des infrastructures critiques
- Marquage CE et enregistrement dans la base de données de l'UE
Source : EU AI Act Art.9-15, Art.43
Une évaluation de la conformité est le processus de vérification qu'un système d'IA à haut risque répond à toutes les exigences de l'AI Act avant sa mise sur le marché. Deux voies existent :
- Interne (auto-évaluation) : Pour la plupart des systèmes à haut risque de l'Annexe III. Le fournisseur évalue la conformité au regard des Art.9-15, prépare la documentation technique, applique un système de gestion de la qualité et déclare lui-même la conformité
- Tiers (organisme notifié) : Obligatoire pour les systèmes d'identification biométrique à distance en temps réel et les composants de sécurité des infrastructures critiques. Un organisme indépendant audite le système
Après une évaluation réussie, le fournisseur appose le marquage CE et enregistre le système dans la base de données de l'UE.
Source : EU AI Act Art.43, Annexe VI (interne), Annexe VII (tiers)
Les déployeurs de systèmes d'IA à haut risque qui sont des organismes publics, ou des entités privées fournissant des services publics, doivent réaliser une analyse d'impact sur les droits fondamentaux avant de mettre le système en service (Art.27). Cela doit identifier : la finalité prévue par le déployeur, la portée géographique et temporelle, les catégories de personnes concernées, les risques spécifiques pour les droits fondamentaux, les mesures de surveillance humaine et les actions à entreprendre si les risques se matérialisent. L'évaluation doit être notifiée à l'autorité de surveillance du marché compétente.
Source : EU AI Act Art.27
Réglementations IA par pays(5 questions)
Le Royaume-Uni ne dispose pas d'un AI Act unique et complet. Il utilise plutôt une approche sectorielle basée sur 5 principes transsectoriels : (1) sécurité, sûreté, robustesse ; (2) transparence, explicabilité ; (3) équité ; (4) responsabilité, gouvernance ; (5) contestabilité, réparation. Développements clés :
- Code de pratique de l'ICO sur l'IA : Code statutaire (SI 2026/425), en vigueur le 12 mai 2026
- Data (Use and Access) Act 2025 : A remplacé l'Art.22 du GDPR par de nouvelles garanties concernant la prise de décision automatisée (Art.22A-22D), en vigueur le 5 février 2026
- Deepfakes : La création de deepfakes intimes non consentis est une infraction pénale depuis janvier 2026 (jusqu'à 2 ans de détention)
Source : Livre blanc DSIT sur la réglementation de l'IA (2023) ; Code ICO SI 2026/425 ; Data (Use and Access) Act 2025
Les États-Unis ne disposent d'aucune loi fédérale complète sur l'IA. Le paysage réglementaire comprend :
- Application par la FTC : Section 5 contre les pratiques d'IA trompeuses/déloyales
- NYC Local Law 144 : Audits de biais annuels obligatoires pour les outils automatisés de décision en matière d'emploi
- TAKE IT DOWN Act (2025) : Infraction pénale fédérale pour les deepfakes IA non consentis (jusqu'à 3 ans d'emprisonnement)
- DEFIANCE Act : Recours civil fédéral pour les victimes de deepfakes (dommages statutaires jusqu'à 250 000 $)
- NIST AI RMF : Cadre volontaire de gestion des risques (Govern, Map, Measure, Manage)
- Lois d'État : Colorado SB 26-189 (transparence ADMT, en vigueur janvier 2027), California SB 942 (transparence IA, en vigueur août 2026), Illinois HB 3773 (IA dans les entretiens vidéo)
Source : FTC Act § 5 ; NYC LL 144 ; TAKE IT DOWN Act ; NIST AI RMF 1.0
Le Japon adopte une approche de « droit souple » en matière de réglementation de l'IA :
- AI Strategy 2025 : Stratégie nationale promouvant une adoption de confiance de l'IA
- Principes sociaux de l'IA centrée sur l'humain (2019) : Lignes directrices non contraignantes couvrant la dignité humaine, la diversité, la durabilité, la sécurité, l'équité, la responsabilité, la transparence
- APPI (Act on Protection of Personal Information) : La loi japonaise sur la protection des données s'applique au traitement de données personnelles par l'IA, avec des amendements de 2022 renforçant les droits individuels
- Aucun enregistrement ou évaluation de conformité spécifique à l'IA obligatoire
Le Japon participe au processus IA du G7 d'Hiroshima et soutient une gouvernance internationale interopérable de l'IA.
Source : AI Strategy 2025 du Cabinet Office ; APPI (Loi n° 57 de 2003, telle que modifiée)
Le cadre réglementaire canadien de l'IA comprend :
- AIDA (Artificial Intelligence and Data Act) : Partie du projet de loi C-27. Si elle était adoptée, elle exigerait des analyses d'impact pour les systèmes d'IA à fort impact, des mesures d'atténuation des biais, des obligations de transparence, et un nouveau Commissaire à l'IA et aux données
- Code de conduite volontaire (2023) : Lignes directrices provisoires pour l'IA générative
- PIPEDA : La loi fédérale sur la protection de la vie privée s'applique au traitement des données personnelles par l'IA. Le CPVP a publié des orientations sur l'IA et la vie privée
- Directive du Conseil du Trésor sur la prise de décision automatisée : S'applique à l'utilisation de l'IA par le gouvernement fédéral, avec des exigences d'évaluation d'impact algorithmique
Source : Projet de loi C-27 (AIDA) ; Directive du Conseil du Trésor sur la PDA ; PIPEDA
L'Australie développe son approche de gouvernance de l'IA :
- Cadre d'éthique de l'IA (2019) : Cadre volontaire à 8 principes
- Consultation sur des garde-fous obligatoires pour l'IA (2024) : Le gouvernement consulte sur des garanties obligatoires pour l'IA à haut risque
- Examen de la loi sur la vie privée : Les réformes proposées incluent des dispositions spécifiques à l'IA sur la transparence de la prise de décision automatisée
- Commissaire à l'eSécurité : Pouvoirs pour traiter les contenus nuisibles générés par IA
- Pas encore de loi complète spécifique à l'IA -- les lois existantes (loi sur la vie privée, droit de la consommation, loi anti-discrimination) s'appliquent à l'IA
Source : Cadre d'éthique de l'IA du DISR ; Online Safety Act 2021 de l'eSafety ; Privacy Act 1988
Étapes pratiques de conformité(5 questions)
Une approche structurée de la conformité IA :
- Étape 1 : Inventaire IA. Cataloguer tous les systèmes d'IA de votre organisation -- ce qu'ils font, où ils opèrent, quelles données ils traitent, qui est concerné
- Étape 2 : Classification des risques. Déterminer dans quel niveau de risque chaque système d'IA se situe au titre de l'EU AI Act (ou du cadre national équivalent)
- Étape 3 : Analyse des écarts. Comparer les pratiques actuelles aux exigences légales pour chaque niveau de risque
- Étape 4 : Politique IA. Créer une politique interne d'utilisation de l'IA couvrant l'usage acceptable, l'approvisionnement, la surveillance et la réponse aux incidents
- Étape 5 : Formation. Mettre en œuvre un programme de littératie IA pour tout le personnel concerné (Art.4 -- déjà requis)
- Étape 6 : Documentation. Préparer la documentation technique, les évaluations de risques et les dossiers de conformité
- Étape 7 : Surveillance. Établir une surveillance continue de la conformité et des révisions périodiques
Source : EU AI Act Art.4, 9-15 ; ISO/IEC 42001:2023
Un inventaire IA est un registre complet de tous les systèmes d'IA utilisés dans votre organisation. Bien que non explicitement exigé en tant que dispositif autonome, il est pratiquement essentiel car :
- Vous ne pouvez pas classer les risques sans savoir de quelle IA vous disposez
- Les déployeurs à haut risque doivent conserver des journaux et des registres (Art.12, 26)
- Les obligations de littératie IA exigent d'identifier qui interagit avec l'IA (Art.4)
- Les exigences de documentation en aval pour les GPAI supposent que les fournisseurs connaissent leurs systèmes d'IA
Votre inventaire doit inclure : nom du système, finalité, fournisseur, classification du risque, données traitées, personnes concernées, date de déploiement, responsable désigné, et date de dernière révision.
Source : EU AI Act Art.12, 26 ; ISO/IEC 42001:2023
Une politique d'utilisation de l'IA est un document de gouvernance interne définissant comment votre organisation utilise l'IA de manière responsable. Les éléments essentiels incluent :
- Périmètre : Quels outils IA sont approuvés, lesquels sont interdits, lesquels nécessitent une approbation
- Utilisation acceptable : Lignes directrices pour le personnel utilisant l'IA (par ex., ChatGPT au travail, codage assisté par IA, IA dans les communications avec les clients)
- Protection des données : Règles sur les données pouvant être saisies dans les systèmes d'IA (aucune donnée confidentielle/personnelle sans évaluation)
- Surveillance humaine : Quand et comment une révision humaine est requise avant d'agir sur les sorties de l'IA
- Approvisionnement : Exigences de diligence raisonnable pour la sélection des fournisseurs d'IA
- Signalement des incidents : Comment signaler les erreurs, biais ou sorties nuisibles de l'IA
- Formation : Exigences de littératie IA et calendrier de mise à jour
- Cycle de révision : Fréquence de révision de la politique (au moins annuellement)
Source : ISO/IEC 42001:2023 ; EU AI Act Art.4, 9, 26
Une évaluation des risques liés à l'IA doit suivre une méthodologie structurée :
- 1. Description du système : Ce que fait l'IA, comment elle fonctionne (à un niveau