AI Act UE vs réglementation IA UK : deux régimes, un même système IA
Après le Brexit, l'UE et le Royaume-Uni ont adopté des approches radicalement différentes pour réguler l'intelligence artificielle. Cet article compare les deux cadres sur le champ d'application, la classification des risques, l'application et la documentation — et explique ce que la double conformité signifie concrètement.
Lorsqu'une entreprise déploie le même outil de présélection RH basé sur l'IA à Londres et à Francfort, elle est simultanément soumise à deux philosophies réglementaires distinctes. L'AI Act européen (règlement (UE) 2024/1689) est une loi horizontale contraignante assortie d'obligations strictes et de sanctions lourdes. Le Royaume-Uni, post-Brexit, a délibérément choisi d'éviter une loi unique sur l'IA, déléguant la supervision aux régulateurs sectoriels existants. Comprendre l'écart entre ces deux systèmes n'est pas un exercice académique — c'est un prérequis pour toute organisation opérant sur les deux marchés.
La fracture philosophique fondamentale
L'AI Act repose sur un modèle de classification par risque : plus un système présente de risques pour la santé, la sécurité ou les droits fondamentaux, plus les obligations sont strictes. Il est horizontal — il s'applique à travers les secteurs, les rôles et les cas d'usage via un instrument législatif unique. L'article 1 en énonce explicitement l'objectif : garantir que les systèmes d'IA mis sur le marché européen sont sûrs, transparents, non discriminatoires et durables sur le plan environnemental.
L'approche britannique, décrite dans son document de politique de régulation de l'IA (mars 2023) et mis à jour dans le Plan d'action pour les opportunités IA (janvier 2025), se veut « pro-innovation » et « sensible au contexte ». Il n'existe pas de loi unique sur l'IA. La Financial Conduct Authority (FCA), l'Information Commissioner's Office (ICO), la Care Quality Commission (CQC) et d'autres régulateurs sectoriels sont censés appliquer les règles existantes — complétées par des principes transversaux — aux systèmes d'IA relevant de leurs domaines. Un Institut de sécurité de l'IA dédié existe pour les modèles frontières, mais il ne crée pas d'obligations contraignantes pour les déployeurs ordinaires.
Cadre comparatif : quatre dimensions clés
| Dimension | AI Act UE | Approche UK |
|---|---|---|
| Instrument juridique | Règlement contraignant (directement applicable dans tous les États membres) | Pas de loi unique ; orientations et principes sectoriels |
| Champ d'application | Tous les systèmes d'IA mis sur le marché ou utilisés dans l'UE, quel que soit le lieu du fournisseur | Activités basées au UK ; portée extraterritoriale limitée et non testée |
| Classification des risques | Système obligatoire à quatre niveaux (inacceptable / haut / limité / minimal) | Pas de niveaux formels ; les régulateurs appliquent leur logique sectorielle |
| Obligations haut risque | Évaluation de conformité, documentation technique, supervision humaine, enregistrement dans la base de données UE | Pas de processus obligatoire équivalent ; cadres volontaires émergents |
| Exigences documentaires | Annexe IV (documentation technique), article 11, article 18 (tenue de registres) | Pas d'équivalent obligatoire ; les orientations IA de l'ICO suivent la logique RGPD |
| Autorité de contrôle | Autorités nationales de surveillance du marché + Bureau de l'IA UE pour les MSIG | Régulateurs sectoriels existants (FCA, ICO, CQC, etc.) |
| Amendes maximales | 35 M€ ou 7 % du chiffre d'affaires mondial (pratiques interdites) ; 15 M€ ou 3 % (violations haut risque) | Amendes selon les lois existantes (ex. amendes RGPD via l'ICO, amendes FCA) |
| Obligations de transparence | Articles 13 (haut risque), 50 (MSIG, deepfakes) | Émergentes ; orientations de transparence de l'ICO sous UK RGPD |
| Calendrier | Haut risque Annexe III : 2 décembre 2027 (Omnibus, 7 mai 2026) ; Annexe I intégrée : 2 août 2028 ; Pratiques interdites : février 2025 | Pas d'échéances contraignantes ; calendrier volontaire pour l'alignement réglementaire |
Ce que « pro-innovation » signifie en pratique
Le modèle britannique sectoriel présente de réels avantages pour le développement précoce de l'IA : déploiement plus rapide, moins de formalités administratives, davantage d'expérimentation réglementaire. L'AI Lab de la FCA et le Regulatory Sandbox de l'ICO permettent aux entreprises de tester des systèmes d'IA dans des conditions supervisées sans déclencher la machinerie complète d'un règlement contraignant.
Cependant, pour les entreprises qui vendent déjà vers l'UE — ou qui envisagent de le faire — l'absence d'un cadre obligatoire au Royaume-Uni ne réduit pas leur charge totale de conformité. Elle signifie simplement que leurs obligations UK sont diffuses : réparties entre le RGPD britannique, l'Equality Act 2010, le Product Safety and Metrology Act 2024, et les règles sectorielles spécifiques. Cartographier ces obligations pour un seul système d'IA requiert davantage de travail interprétatif, pas moins.
Le problème de la double conformité
Prenons l'exemple d'un établissement de services financiers dont le siège est à Édimbourg et qui propose un modèle de scoring de crédit basé sur l'IA à des clients particuliers au Royaume-Uni et en Allemagne. Sous l'AI Act, ce système relève quasi certainement de l'annexe III, point 5(b) — évaluation de la solvabilité. L'entreprise doit réaliser une évaluation de conformité, maintenir la documentation technique de l'annexe IV, enregistrer le système dans la base de données UE et mettre en place des mécanismes de supervision humaine conformes à l'article 14.
Au Royaume-Uni, les Principles for Businesses de la FCA et son orientation sur la gestion du risque de modèle (SS1/23) imposent des exigences qui se recoupent mais ne sont pas identiques. L'article 22 du RGPD britannique restreint les décisions entièrement automatisées ayant des effets significatifs — mais le format de la documentation, les pistes d'audit et les structures de supervision ne sont pas standardisés. L'entreprise se retrouve à maintenir deux ensembles de documentation parallèles, deux protocoles de supervision et potentiellement deux processus d'audit pour le même produit.
Voilà la charge de la double conformité. Elle n'est pas hypothétique — c'est la réalité opérationnelle de toute entreprise ayant une présence significative dans les deux juridictions.
L'approche recommandée : l'UE comme référentiel de base
Pour la plupart des organisations opérant sur les deux marchés, la réponse pratique est de traiter la conformité à l'AI Act UE comme le plancher, non le plafond. Le cadre européen est plus prescriptif, mieux documenté, et — point crucial — ses obligations se transposent dans le contexte britannique sans perte significative. Un document technique de l'annexe IV préparé pour l'AI Act UE satisfera la plupart des demandes d'information de la FCA ou de l'ICO. Un protocole de supervision humaine conçu pour répondre à l'article 14 dépassera les attentes implicites des régulateurs sectoriels britanniques.
Cette approche « UE comme référentiel » n'élimine pas le besoin d'une révision juridique spécifique au Royaume-Uni — notamment pour les secteurs réglementés où les règles de la FCA ou de la CQC ajoutent des exigences propres. Mais elle simplifie considérablement l'architecture de conformité en éliminant les travaux redondants.
Perspectives : évolution réglementaire UK en 2026-2027
Le gouvernement britannique a signalé que l'approche sectorielle n'allait pas rester figée. Plusieurs développements sont attendus dans la fenêtre 2026-2027 :
- IA et propriété intellectuelle : La consultation de l'IPO sur l'IA et le droit d'auteur (2024) devrait produire des orientations ou une législation secondaire.
- IA dans le secteur public : Le Cabinet Office a indiqué que des normes contraignantes pour l'utilisation de l'IA dans les marchés publics et les services gouvernementaux sont en cours d'élaboration.
- Signalement obligatoire des incidents : En alignement avec les cadres internationaux (OCDE, Processus de Hiroshima du G7), le Royaume-Uni devrait introduire un signalement obligatoire pour les incidents IA à fort impact — potentiellement en miroir de l'article 73 de l'AI Act UE.
- Mise en œuvre du Livre blanc du DSIT : Le Département pour la Science, l'Innovation et la Technologie a laissé entendre qu'un éventuel cadre légal pour l'IA pourrait être envisagé si la coordination volontaire s'avère insuffisante.
Aucun de ces développements ne reproduira probablement intégralement l'AI Act UE. L'ambition du Royaume-Uni est de se positionner comme un hub pour l'IA, et une réglementation horizontale de style bruxellois est politiquement exclue. Mais la convergence pratique — sous l'effet des relations commerciales, des préoccupations d'adéquation RGPD et des risques partagés des modèles frontières — signifie que l'écart va se réduire.
Points clés à retenir
- L'AI Act UE crée des obligations dures et applicables ; le cadre britannique crée des attentes diffuses dépendant des secteurs.
- Pour les systèmes d'IA à haut risque (annexe III), la charge de conformité UE est significativement plus élevée — et doit piloter la conception de votre documentation et de votre supervision de référence.
- Les organisations opérant uniquement au Royaume-Uni font face à des exigences formelles plus légères aujourd'hui, mais doivent surveiller de près les évolutions 2026-2027.
- Les organisations multi-marchés devraient éviter de maintenir deux architectures de conformité distinctes ; une approche UE en premier avec une superposition UK est plus efficace et plus défendable.
- « Pro-innovation » ne signifie pas « non réglementé » — les déploiements d'IA au Royaume-Uni restent soumis au RGPD britannique, au droit de l'égalité, à la réglementation sectorielle et aux obligations de sécurité des produits.
DILAIG automatise les audits de conformité à l'AI Act UE, en générant la documentation technique et l'analyse des écarts dont votre équipe a besoin pour opérer avec confiance sur les marchés européen et britannique. Démarrez votre évaluation sur dilaig.com.