← Retour au blog

Bureau européen de l'IA : rôle, pouvoirs et conséquences pour les fournisseurs d'IA

Qui est le Bureau européen de l'IA, quels pouvoirs d'exécution détient-il en vertu des articles 88 à 93, et que doivent faire les fournisseurs d'IA pour être en conformité ?

19 mai 2026DILAIG

Si vous développez ou déployez un système d'IA qui touche le marché européen, une institution dispose désormais du pouvoir d'exiger votre documentation technique, d'évaluer les capacités de votre modèle et d'infliger des amendes directement à votre entreprise. Cette institution est le Bureau européen de l'IA. Pour les professionnels de la conformité et les dirigeants d'entreprises d'IA, comprendre son fonctionnement n'est pas une option.

Cet article explique ce qu'est le Bureau européen de l'IA, quels pouvoirs juridiques il détient, comment il applique l'AI Act en pratique, et quelles mesures les fournisseurs d'IA doivent prendre dès maintenant pour être préparés.

Qu'est-ce que le Bureau européen de l'IA ?

Le Bureau européen de l'IA a été établi par la décision de la Commission C(2024)1021. Il fonctionne comme un organe au sein de la Commission européenne. Ce choix structurel est important : le Bureau n'est pas une agence de régulation indépendante comme la Banque centrale européenne ou l'Autorité européenne des marchés financiers. Il fait partie de la Commission, lui rend compte, et tire son autorité réglementaire de l'AI Act plutôt que d'un article fondateur du traité qui lui conférerait une personnalité juridique distincte.

Son cadre de gouvernance formel est défini aux articles 64 à 70 de l'AI Act. Le mandat du Bureau couvre quatre grands domaines :

  • Exécution des obligations GPAI : autorité d'exécution directe sur les fournisseurs de modèles d'IA à usage général, en vertu des articles 51 à 56 et des articles d'exécution 88 à 93
  • Coordination des autorités nationales : appui et coordination des autorités nationales de surveillance du marché dans les États membres, qui font appliquer les obligations de l'AI Act concernant les systèmes d'IA à haut risque
  • Développement de normes et d'orientations : élaboration de lignes directrices techniques, contribution aux normes harmonisées, et publication d'orientations sur l'application de l'AI Act
  • Bacs à sable réglementaires à l'échelle de l'UE : organisation de bacs à sable réglementaires au niveau européen pour les projets d'innovation en IA à dimension transfrontalière

Une distinction essentielle s'applique à tous les fournisseurs d'IA : le Bureau européen de l'IA applique directement les obligations aux fournisseurs de modèles GPAI. Pour les systèmes d'IA à haut risque visés à l'annexe III, l'exécution relève des autorités nationales de surveillance du marché dans chaque État membre, et non du Bureau européen de l'IA. Le Bureau joue un rôle de coordination et d'appui pour l'exécution liée à l'annexe III, mais l'autorité de première ligne pour, par exemple, un outil de recrutement utilisant l'IA ou un système d'IA pour dispositif médical est l'autorité nationale du pays où le produit est mis sur le marché.

Pouvoirs d'exécution : articles 88 à 94

L'AI Act confère au Bureau européen de l'IA un ensemble d'outils d'exécution substantiels au regard des standards de la réglementation numérique européenne. Il ne s'agit pas de simples pouvoirs consultatifs : ils comprennent la capacité d'imposer la production de documents, d'évaluer les capacités des modèles et d'infliger des sanctions financières directement.

Article 88 : Demandes d'information et de documentation

Le Bureau européen de l'IA peut demander à tout fournisseur de modèle GPAI les informations et la documentation qu'il juge nécessaires à l'exercice de ses fonctions. Cela comprend la documentation technique, les résumés des données d'entraînement, les résultats des tests de sécurité, les registres de gouvernance interne et les rapports d'incidents. Les fournisseurs doivent répondre dans les délais précisés dans la demande.

Il s'agit en pratique d'un pouvoir comparable à une injonction de production de documents. Les fournisseurs ne peuvent pas refuser au seul motif de la sensibilité commerciale, bien que le Bureau soit tenu de traiter les informations commerciales confidentielles avec les protections procédurales appropriées. L'implication concrète est la suivante : tout document que le Bureau pourrait demander doit déjà exister sous une forme structurée et facilement accessible. Dans le cas contraire, le produire dans des délais contraints accroît significativement le risque juridique et réputationnel.

Article 89 : Évaluations des modèles

Le Bureau européen de l'IA peut procéder à des évaluations de modèles GPAI pour vérifier leur conformité aux obligations de l'AI Act. Cela comprend la possibilité de demander au fournisseur de rendre le modèle disponible pour des tests, de fournir l'accès à la documentation pertinente et de coopérer avec les évaluateurs désignés par le Bureau.

Les évaluations de modèles au titre de l'article 89 sont déclenchées par la surveillance courante de la conformité ou par des préoccupations spécifiques soulevées par des autorités nationales, des tiers ou l'analyse propre du Bureau. Les fournisseurs doivent considérer toute évaluation au titre de l'article 89 comme une interaction réglementaire formelle nécessitant une préparation juridique et technique.

Article 90 : Accès aux poids du modèle et au code source

Pour les modèles GPAI présentant un risque systémique, le Bureau européen de l'IA dispose du pouvoir extraordinaire de demander l'accès aux poids du modèle et au code source. L'article 90 établit cette possibilité comme une mesure proportionnée, assortie de protections en matière de confidentialité. Ce pouvoir existe et peut être exercé.

Cette disposition n'a pas d'équivalent proche dans la réglementation numérique européenne antérieure. Elle reflète le choix du législateur de considérer l'architecture interne des modèles d'IA frontières comme une question réglementaire lorsque ces modèles présentent un risque systémique. Les fournisseurs de modèles dépassant le seuil de 10²⁵ FLOPs d'entraînement doivent s'assurer qu'ils disposent de procédures juridiques et techniques pour répondre à une demande au titre de l'article 90.

Article 91 : Mesures contre les modèles GPAI à risque systémique

Lorsque le Bureau européen de l'IA constate qu'un modèle GPAI à risque systémique présente des risques insuffisamment traités, il peut exiger du fournisseur :

  • La modification des capacités du modèle
  • La restriction ou la suspension du déploiement sur le marché européen
  • Le retrait du modèle du marché

Ces pouvoirs figurent parmi les plus significatifs de la réglementation numérique européenne. Exiger d'un fournisseur commercial d'IA qu'il modifie ou retire un produit constitue une intervention directe de premier ordre dans les opérations commerciales. Les fournisseurs de modèles frontières doivent considérer l'article 91 comme le filet de sécurité ultime du cadre réglementaire GPAI.

Article 93 : Amendes directes contre les fournisseurs GPAI

Le Bureau européen de l'IA peut infliger des amendes directement aux fournisseurs de modèles GPAI, sans passer par les autorités nationales. Le barème des amendes est le suivant :

Type de violation Amende maximale
Informations incorrectes, incomplètes ou trompeuses 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu)
Non-respect d'une mesure ou d'une demande du Bureau 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu)
Pratiques d'IA interdites (article 5) 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu)

Ces montants s'appliquent aux fournisseurs de modèles GPAI spécifiquement. Pour les fournisseurs de systèmes d'IA à haut risque, les amendes sont infligées par les autorités nationales de surveillance du marché selon le droit procédural national, avec les mêmes plafonds financiers.

Comment se déroule une enquête du Bureau européen de l'IA en pratique

Comprendre la séquence procédurale d'une enquête du Bureau aide les fournisseurs à préparer des réponses adaptées.

Étape 1 : Déclenchement. Une enquête peut être déclenchée par une plainte d'une autorité nationale, un signalement d'un tiers, une notification d'incident, les activités de surveillance propres du Bureau, ou un examen ciblé d'un modèle ou d'une catégorie spécifique.

Étape 2 : Demande d'information au titre de l'article 88. Le Bureau émet une demande formelle de documents et d'informations. Cette demande précise le type de documentation requis, le délai de réponse (généralement 10 à 30 jours ouvrés) et la base juridique.

Étape 3 : Évaluation du modèle au titre de l'article 89. Si les informations fournies sont insuffisantes ou soulèvent des préoccupations supplémentaires, le Bureau peut lancer une évaluation formelle du modèle, faisant éventuellement appel à des évaluateurs techniques indépendants.

Étape 4 : Constatations préliminaires. Le Bureau communique ses constatations préliminaires et donne au fournisseur la possibilité de répondre. Il s'agit d'une étape procédurale déterminante : les fournisseurs doivent répondre de manière substantielle aux constatations préliminaires en fournissant des réponses techniques et juridiques détaillées.

Étape 5 : Décision. Le Bureau rend une décision formelle, pouvant inclure des mesures au titre de l'article 91 ou des amendes au titre de l'article 93. Les décisions sont soumises au contrôle juridictionnel de la Cour de justice de l'Union européenne.

Tout au long de ce processus, la capacité du fournisseur à produire une documentation structurée, à jour et précise est le facteur le plus déterminant pour l'issue de la procédure.

Le réseau des instituts de sécurité de l'IA et la coopération internationale

Le Bureau européen de l'IA n'agit pas de manière isolée. Il s'inscrit dans un cadre international plus large d'organisations dédiées à la sécurité de l'IA, notamment à travers sa coopération avec les instituts de sécurité de l'IA au Royaume-Uni, aux États-Unis (via le NIST), au Japon et dans d'autres juridictions participant au Réseau international des instituts de sécurité de l'IA.

Cette coopération a des implications opérationnelles concrètes. Les évaluations de modèles réalisées par l'Institut de sécurité de l'IA britannique peuvent, par exemple, alimenter les évaluations du Bureau européen. Les rapports d'incidents déposés dans une juridiction peuvent déclencher un examen dans d'autres. Les fournisseurs opérant à l'échelle mondiale doivent considérer leur posture de conformité dans les différentes juridictions comme interconnectée, et non cloisonnée.

Ce que le Bureau européen de l'IA a publié jusqu'à présent

Le Bureau européen de l'IA a été actif dans la publication d'orientations depuis sa création. Parmi les publications clés :

  • Le code de pratique GPAI (10 juillet 2025), qui établit le cadre de conformité volontaire pour les fournisseurs de modèles GPAI et crée une présomption de conformité avec les articles 53 et 55 lorsqu'il est suivi
  • Des orientations sur les modèles d'IA à usage général, couvrant l'interprétation des définitions clés, notamment le seuil de FLOPs et la classification des modèles présentant un risque systémique
  • Des orientations sur le cadre des bacs à sable réglementaires pour les projets de développement d'IA à dimension transfrontalière

Des normes techniques supplémentaires sont en cours d'élaboration en coopération avec le CEN-CENELEC, les organismes européens de normalisation, et avec la participation du Panel scientifique du Bureau au titre de l'article 68.

Ce que cela signifie stratégiquement pour les fournisseurs d'IA

Le Bureau européen de l'IA a le pouvoir légal d'exiger votre documentation, d'évaluer votre modèle et d'infliger des amendes à votre entreprise avant même l'ouverture d'une procédure judiciaire nationale. L'implication stratégique est directe : votre documentation de conformité doit être à jour, complète et prête à être produite dans de brefs délais.

Pour les fournisseurs de modèles GPAI, cela signifie maintenir en permanence :

  • Un dossier de documentation technique à jour couvrant les capacités du modèle, les données d'entraînement, les tests de sécurité et les procédures de gouvernance
  • Une politique de conformité au droit d'auteur actualisée accompagnée d'un résumé des données d'entraînement
  • Les registres de toutes les évaluations de sécurité internes et leurs résultats
  • Une structure de gouvernance documentée avec des responsables nommément désignés

Pour les fournisseurs de systèmes d'IA à haut risque, l'autorité d'exécution principale reste l'autorité nationale de surveillance du marché dans votre marché cible. Cependant, le Bureau peut transmettre des dossiers, coordonner des enquêtes et publier des orientations qui influencent la manière dont les autorités nationales interprètent l'AI Act.

Les pouvoirs du Bureau ne sont pas théoriques. Le cadre d'exécution est en place, le code de pratique est publié, et les obligations GPAI sont applicables depuis août 2025. Les fournisseurs qui n'ont pas encore structuré leur documentation de conformité opèrent sans la protection que cette documentation leur apporterait.

Comment DilAIg vous aide à être prêt pour un audit

L'audit en 50 questions de DilAIg génère les quatre documents obligatoires dont tout fournisseur d'IA a besoin, qu'il soit soumis au contrôle du Bureau européen de l'IA ou à la surveillance nationale : Documentation technique (annexe IV), Déclaration de conformité UE, Évaluation d'impact sur les droits fondamentaux (FRIA) et Notice de transparence.

Lorsqu'une demande d'information au titre de l'article 88 arrive, ou qu'une autorité nationale engage une procédure d'évaluation de la conformité, la question n'est pas de savoir si vous êtes conforme sur le fond, mais si vous pouvez le démontrer immédiatement par des documents. DilAIg est conçu pour ce moment précis.

Démarrez votre audit de conformité ou contactez-nous pour discuter de votre situation.

FAQ : Bureau européen de l'IA

Le Bureau européen de l'IA est-il équivalent à une autorité nationale de protection des données ? Non. Les autorités nationales de protection des données appliquent le RGPD. Le Bureau européen de l'IA est un organe de la Commission qui fait appliquer les obligations GPAI en vertu de l'AI Act. Les deux ont des compétences qui se recoupent dans certains domaines, notamment lorsque des systèmes d'IA traitent des données à caractère personnel, mais ce sont des institutions distinctes avec des mandats juridiques distincts.

Le Bureau européen de l'IA fait-il appliquer les obligations relatives aux systèmes d'IA à haut risque ? Pas directement. Pour les systèmes d'IA à haut risque visés à l'annexe III, l'exécution relève des autorités nationales de surveillance du marché dans chaque État membre. Le Bureau coordonne, appuie et publie des orientations, mais ne mène pas directement d'actions d'exécution contre les fournisseurs de systèmes à haut risque, sauf lorsque ces systèmes impliquent également des modèles GPAI.

Le Bureau européen de l'IA peut-il enquêter sur une entreprise basée aux États-Unis ? Oui, si cette entreprise fournit un modèle GPAI mis sur le marché européen ou utilisé dans l'UE. Elle relève du champ d'application territorial de l'AI Act en vertu de l'article 2. Le Bureau peut émettre des demandes d'information et réaliser des évaluations de modèles quelle que soit la localisation du siège social du fournisseur.

Qu'est-ce que le Panel scientifique et est-il important pour les fournisseurs ? Le Panel scientifique institué par l'article 68 conseille le Bureau sur les questions techniques, notamment les évaluations de modèles et les évaluations de seuils. Ses conclusions peuvent influencer les décisions du Bureau. Les fournisseurs doivent suivre les publications du Panel scientifique comme indicateurs avancés des positions interprétatives du Bureau.

Dans quel délai un fournisseur doit-il répondre à une demande d'information au titre de l'article 88 ? L'AI Act ne fixe pas de délai légal uniforme : le Bureau précise le délai dans chaque demande. En pratique, les demandes ont généralement spécifié des fenêtres de réponse de 10 à 30 jours ouvrés. Les fournisseurs doivent maintenir leur documentation dans un état permettant une récupération et une production rapides.

Les décisions du Bureau européen de l'IA peuvent-elles faire l'objet d'un recours ? Oui. Les décisions du Bureau sont soumises au contrôle juridictionnel de la Cour de justice de l'Union européenne dans le cadre standard du droit administratif applicable aux décisions de la Commission.

Principaux points à retenir

  • Le Bureau européen de l'IA est un organe de la Commission (et non une agence indépendante), établi par la décision C(2024)1021, avec une gouvernance régie par les articles 64 à 70 de l'AI Act
  • Il dispose d'une autorité d'exécution directe sur les fournisseurs de modèles GPAI, incluant le pouvoir de demander des documents (article 88), d'évaluer des modèles (article 89), d'accéder aux poids et au code source (article 90), d'exiger la modification ou le retrait du modèle (article 91), et d'infliger des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial (article 93)
  • Les autorités nationales de surveillance du marché, et non le Bureau, font appliquer les obligations relatives aux systèmes d'IA à haut risque de l'annexe III
  • Une enquête du Bureau suit une séquence procédurale définie, de la demande d'information à la décision formelle. La qualité de la documentation du fournisseur détermine l'issue à chaque étape
  • Le Bureau coopère à l'échelle internationale avec les instituts de sécurité de l'IA, ce qui signifie que la posture de conformité dans les différentes juridictions est interconnectée
  • Les fournisseurs incapables de produire une documentation de conformité structurée à la demande sont exposés à l'ensemble de la procédure d'exécution avec une capacité d'atténuation limitée

Pour aller plus loin

Votre système IA est-il conforme ?

Audit gratuit en 20 minutes.

Démarrer l'audit