Adopté en mars 2024 et entré en vigueur le 1ᵉʳ août 2024, le règlement européen (UE) 2024/1689, dit AI Act, instaure un cadre juridique commun pour encadrer l'intelligence artificielle au sein de l’Union Européenne. Ce texte historique cherche à concilier protection des droits fondamentaux, sécurité des usages et innovation, tout en harmonisant les règles entre les États membres
Objectifs et principes clés
Le règlement suit une approche fondée sur les risques, répartissant les systèmes d’IA selon leur potentiel d'impact :
- Usage inacceptable : interdits, notamment dispositifs de notation sociale, reconnaissance émotionnelle en milieu éducatif ou surveillance biométrique en temps réel.
- Risques élevés : soumis à des obligations strictes (transparence, supervision humaine, contrôle), surtout dans les domaines de la santé, de l’éducation, du recrutement, ou des infrastructures critiques.
- Usages à risque limité (ex. deepfakes) : transparence requise envers les utilisateurs.
- Usages minimes : peu encadrés, mais encouragés à adopter des bonnes pratiques.
- IA à usage général (GPAI) : obligations spécifiques selon le niveau de risque, avec identification et rapport des incidents.
Publics concernés
Le règlement s’applique à tous les acteurs du cycle de vie de l’IA en Europe :
- Fournisseurs : concepteurs et développeurs de systèmes d’IA intégrés ou autonomes.
- Distributeurs : vendeurs ou représentants commercialisant les systèmes d’IA.
- Utilisateurs : entreprises, administrations et organismes qui emploient des systèmes d’IA, par exemple en RH, tri de CV, ou interactions clients.
- Acteurs hors UE : si le système d’IA impacte le marché européen, la réglementation s’applique également.
Dates d’application phasées
La mise en œuvre du règlement se fait graduellement :
- 1er août 2024 : entrée en vigueur générale du règlement.
- 2 février 2025 : interdiction des pratiques à risque inacceptable.
- 2 août 2025 : obligations pour les modèles d’IA à usage général et renforcement de la gouvernance.
- 2 août 2026 et 2 avril 2027 : application progressive des dispositions relatives aux IA à haut risque, notamment audits, contrôles et transparence
Conséquences pour les entreprises
Le règlement impose plusieurs obligations aux entreprises, en fonction de leur rôle (fournisseur, distributeur ou utilisateur) et du niveau de risque de leurs systèmes d’IA. Voici les principales implications :
- Classer les systèmes selon leur niveau de risque : chaque entreprise doit identifier si les solutions d’IA qu’elle développe ou utilise relèvent d’un usage inacceptable, à haut risque, à risque limité ou minimal. Cette classification conditionne les exigences de conformité à appliquer.
- Mettre en conformité les systèmes à haut risque : pour les IA utilisées dans des domaines sensibles (recrutement, santé, éducation, etc.), des obligations spécifiques s’appliquent. Cela inclut la documentation technique, l’analyse des risques, la supervision humaine, l’auditabilité et des mesures de contrôle renforcées.
- Informer les utilisateurs pour les systèmes à risque limité : les entreprises doivent garantir un haut niveau de transparence. Cela signifie, par exemple, signaler clairement à l’utilisateur qu’il interagit avec une IA, ou que le contenu affiché (texte, image, vidéo) est généré artificiellement.
- Interdire certaines pratiques à risque inacceptable : les entreprises doivent veiller à ne pas utiliser ou intégrer des IA qui manipulent les comportements de manière subliminale, exploitent des vulnérabilités (comme chez les mineurs ou personnes fragiles), ou utilisent la reconnaissance biométrique en temps réel à des fins de surveillance de masse. Ces usages sont désormais interdits.
- Assurer un suivi continu et notifier les incidents graves : les organisations doivent surveiller les performances de leurs IA et signaler rapidement tout incident critique aux autorités compétentes. Cela inclut par exemple des erreurs ayant un impact sur les droits fondamentaux ou la sécurité des utilisateurs.
Synergies avec le RGPD et autres réglementations
Le règlement IA se positionne comme complément au RGPD, adoptant une logique de conformité proactive (privacy by design), traçabilité et preuves cnil.fr. Il s’articule également avec d’autres normes européennes (DSA, DGA), chacune couvrant un aspect spécifique du numérique.
Le Règlement européen sur l’IA est une avancée historique pour encadrer la technologie au service de l’humain, en s’appuyant sur une logique de confiance, sécurité et transparence. Il redéfinit la responsabilité des acteurs, impose des modes de fonctionnement sécurisés et met en place un véritable socle réglementaire pour soutenir l'innovation européenne.