Qu'est-ce que l'AI Act ? Le règlement européen sur l'IA expliqué en 5 minutes
Qu'est-ce que l'AI Act ? Découvrez le premier règlement mondial sur l'intelligence artificielle : qui est concerné, quelles obligations, quel calendrier. Guide clair et accessible.
Qu'est-ce que l'AI Act ? Découvrez le premier règlement mondial sur l'intelligence artificielle : qui est concerné, quelles obligations, quel calendrier. Guide clair et accessible.
Temps de lecture : 6 min
L'intelligence artificielle est partout. Dans les outils de recrutement, les chatbots de service client, les systèmes de crédit, les logiciels médicaux. Et depuis le 1er août 2024, elle est encadrée par le premier règlement mondial dédié à l'IA : l'AI Act européen.
Mais qu'est-ce que c'est exactement ? À qui ça s'applique ? Qu'est-ce que ça change concrètement ? Ce guide vous donne une lecture claire en cinq minutes — sans jargon inutile.
L'AI Act en une phrase
L'AI Act (Règlement UE 2024/1689) est le premier cadre juridique mondial consacré exclusivement à l'intelligence artificielle. Adopté par le Parlement européen en juin 2024 et entré en vigueur le 1er août 2024, il impose des règles proportionnées au niveau de risque de chaque système d'IA utilisé ou mis sur le marché en Europe.
En clair : plus votre IA peut nuire aux personnes, plus vos obligations sont lourdes.
Pourquoi l'Europe a créé ce règlement
L'IA n'est pas intrinsèquement dangereuse. Mais certains usages le sont — ou peuvent l'être. Un algorithme de tri de CV qui discrimine. Un système de scoring de crédit opaque. Une IA médicale qui pose un mauvais diagnostic. Une application de reconnaissance faciale utilisée à des fins de surveillance de masse.
Avant l'AI Act, ces usages n'étaient encadrés que de manière fragmentée, par le RGPD, la directive sur la responsabilité des produits, ou des législations sectorielles. L'AI Act crée un cadre unifié, applicable à l'ensemble du marché européen — et au-delà.
L'ambition est double : protéger les droits fondamentaux des citoyens tout en permettant l'innovation responsable. Un équilibre difficile, mais nécessaire.
Comment fonctionne l'AI Act : l'approche par les risques
Le règlement ne réglemente pas l'IA en général. Il réglemente les systèmes d'IA selon leur niveau de risque. Quatre niveaux existent :
1. Risque inacceptable — interdit
Ce sont les pratiques que l'Europe considère comme incompatibles avec ses valeurs fondamentales. Elles sont purement et simplement interdites depuis le 2 février 2025 :
- La notation sociale généralisée des citoyens
- La manipulation subliminale ciblant les vulnérabilités d'une personne
- L'exploitation des personnes vulnérables (enfants, personnes âgées, handicapées)
- La reconnaissance biométrique en temps réel dans les espaces publics (sauf exceptions strictes)
- L'inférence des émotions sur le lieu de travail ou dans les établissements scolaires
2. Haut risque — fortement encadré
Ces systèmes peuvent avoir un impact significatif sur la vie des personnes. Ils sont listés dans l'Annexe III du règlement et couvrent notamment :
- Le recrutement et la gestion des ressources humaines
- Les décisions de crédit et services financiers
- Les dispositifs médicaux et systèmes d'assistance médicale
- L'éducation et la formation professionnelle
- Les services publics essentiels (eau, gaz, électricité)
- L'application de la loi et la justice
- La gestion des migrations et des frontières
Pour ces systèmes, les obligations sont substantielles : documentation technique, gestion des risques, gouvernance des données, supervision humaine, enregistrement dans une base de données EU.
3. Risque limité — obligations de transparence
Les chatbots, les générateurs de texte, les outils de deepfake. Ces systèmes doivent simplement informer clairement leurs utilisateurs qu'ils interagissent avec une IA ou consultent un contenu généré artificiellement.
4. Risque minimal — libre usage
Les filtres anti-spam, les recommandations de contenu, les jeux vidéo utilisant l'IA. Aucune obligation spécifique prévue par l'AI Act.
Qui est concerné par l'AI Act ?
C'est là où beaucoup se trompent : l'AI Act ne vise pas seulement les géants de la tech. Il s'applique à toute organisation qui :
- Développe un système d'IA (fournisseur)
- Utilise un système d'IA dans un contexte professionnel (déployeur)
- Importe ou distribue un système d'IA sur le marché européen
Et sa portée est extraterritoriale : une startup américaine, coréenne ou japonaise qui propose un outil d'IA à des entreprises ou des citoyens européens est soumise à l'AI Act — exactement comme le RGPD l'était pour les données personnelles.
En pratique, cela signifie que la très grande majorité des entreprises qui utilisent des outils SaaS intégrant de l'IA (CRM avec scoring, outil de recrutement automatisé, chatbot de service client) sont des déployeurs au sens de l'AI Act, avec des obligations qui leur sont propres.
Le calendrier d'application
L'AI Act s'applique progressivement :
| Date | Ce qui entre en vigueur |
|---|---|
| 1er août 2024 | Entrée en vigueur officielle |
| 2 février 2025 | Interdictions (risque inacceptable) + obligation de formation (Art. 4) |
| 2 août 2025 | Obligations pour les modèles GPAI (GPT, Claude, Gemini…) |
| 2 août 2026 | Obligations pour les systèmes à haut risque (Annexe III) |
| 2 août 2027 | Obligations pour les systèmes à haut risque liés à des produits réglementés (Annexe I) |
Note : La Commission européenne a proposé fin 2025 un report de certaines échéances via le Digital Omnibus. Consultez les dernières actualités pour suivre l'évolution de ce calendrier.
Quelles sanctions en cas de non-conformité ?
L'AI Act prévoit un régime de sanctions progressif, comparable — voire supérieur — au RGPD :
- Jusqu'à 35 millions d'euros ou 7% du CA mondial pour les pratiques interdites
- Jusqu'à 15 millions d'euros ou 3% du CA mondial pour la non-conformité des systèmes à haut risque
- Jusqu'à 7,5 millions d'euros ou 1% du CA mondial pour les informations inexactes fournies aux autorités
Pour les PME et startups, le montant retenu est le plus bas des deux seuils. Ce n'est pas une garantie de clémence — c'est une proportionnalité.
AI Act et RGPD : deux réglementations distinctes mais complémentaires
Le RGPD encadre le traitement des données personnelles. L'AI Act encadre les systèmes d'intelligence artificielle. Les deux se recoupent souvent — notamment parce que beaucoup de systèmes d'IA traitent des données personnelles.
La CNIL a d'ailleurs confirmé que l'AI Act est un complément au RGPD, pas un remplacement. Les organisations devront souvent satisfaire aux deux règlements simultanément.
Par où commencer ?
Trois étapes simples pour démarrer votre mise en conformité AI Act :
- Cartographier vos systèmes d'IA : listez tous les outils intégrant de l'IA que vous utilisez ou développez — même les outils SaaS tiers.
- Classifier leur niveau de risque : pour chaque système, déterminez s'il tombe dans l'Annexe III ou dans une autre catégorie.
- Identifier votre rôle : êtes-vous fournisseur (vous développez), déployeur (vous utilisez), ou les deux ? Vos obligations diffèrent selon ce statut.
C'est exactement ce que fait DILAIG. : en 20 minutes, notre audit guidé vous donne un score de conformité sur 100 et génère les premiers documents réglementaires dont vous avez besoin.
Vous voulez savoir si votre organisation est concernée par l'AI Act ? Faites votre diagnostic gratuit sur DILAIG.