← Retour au blog

Qu'est-ce que l'AI Act européen ? Le guide clair pour les dirigeants

L'AI Act européen (Règlement 2024/1689) est la première loi mondiale complète sur l'IA. Ce guide explique ce qu'il est, à qui il s'applique, comment fonctionne la classification par risque et ce que votre entreprise doit faire.

16 mai 2026DILAIG

Qu'est-ce que l'AI Act européen ? Le guide clair pour les dirigeants

La réponse courte

L'AI Act (Règlement (UE) 2024/1689) est le premier cadre juridique complet au monde sur l'intelligence artificielle. Il s'applique à toute entreprise qui développe, déploie ou utilise des systèmes d'IA qui affectent des personnes dans l'Union européenne — quelle que soit la localisation de cette entreprise.

Si votre IA touche des utilisateurs européens, l'AI Act vous concerne.

Pourquoi l'UE a créé l'AI Act

Les systèmes d'IA peuvent prendre des décisions à fort enjeu : qui obtient un crédit, qui est recruté, qui franchit une frontière. La position de l'UE est que de telles décisions exigent responsabilité, transparence et supervision — les mêmes principes qui fondent le droit européen de la protection des consommateurs et de la vie privée.

L'AI Act n'est pas une réglementation anti-IA. C'est un cadre fondé sur le risque : plus l'impact potentiel sur les personnes est élevé, plus les règles sont strictes. La majorité des systèmes d'IA — un moteur de recommandation, un filtre anti-spam, un outil de planification — ne font face à aucune obligation obligatoire.

À qui l'AI Act s'applique-t-il ?

L'AI Act distingue quatre types d'acteurs :

Rôle Définition
Fournisseur Développe un système d'IA et le met sur le marché européen
Déployeur Utilise un système d'IA dans un contexte professionnel
Importateur Introduit un système d'IA non européen sur le marché de l'UE
Distributeur Met un système d'IA à disposition dans l'UE sans le modifier substantiellement

Portée extraterritoriale : comme le RGPD, l'AI Act s'applique en fonction de l'endroit où l'effet se produit, et non de l'endroit où l'entreprise est établie. Une entreprise américaine dont le système d'IA est utilisé en France est soumise à l'AI Act.

Les quatre niveaux de risque

L'AI Act classe les systèmes d'IA en quatre catégories. Vos obligations dépendent entièrement de la catégorie dans laquelle votre système se situe.

Risque inacceptable — Interdit (Article 5)

Ces systèmes d'IA sont purement et simplement interdits. L'interdiction est entrée en vigueur le 2 février 2025. Exemples principaux :

  • Systèmes de manipulation subliminale ou exploitant les vulnérabilités de groupes spécifiques
  • Systèmes de notation sociale utilisés par des autorités publiques
  • Identification biométrique à distance en temps réel dans les espaces publics (avec de rares exceptions pour les forces de l'ordre)
  • Inférence d'émotions en milieu professionnel ou scolaire
  • Collecte d'images faciales sur internet ou via la vidéosurveillance pour construire des bases de reconnaissance
  • Systèmes de police prédictive fondés sur des caractéristiques personnelles

Amende pour déploiement d'un système interdit : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.

Risque élevé — Autorisé, avec obligations (Article 6 et Annexe III)

Les systèmes d'IA à haut risque sont autorisés, mais soumis à un cadre de conformité complet avant d'être mis sur le marché. C'est le cœur de l'AI Act.

Un système est à haut risque s'il relève de l'un des huit domaines listés à l'Annexe III (voir ci-dessous) ou s'il est un composant de sécurité d'un produit soumis à la législation d'harmonisation européenne (Annexe I — dispositifs médicaux, machines, véhicules, etc.).

Risque limité — Obligations de transparence uniquement (Article 50)

Ces systèmes doivent indiquer à l'utilisateur qu'il interagit avec une IA. Exemples principaux :

  • Les chatbots doivent informer les utilisateurs qu'ils parlent à une IA
  • Les deepfakes et contenus générés par IA doivent être identifiés comme tels
  • Les systèmes de reconnaissance d'émotions doivent informer les personnes analysées

Risque minimal — Aucune obligation obligatoire

La grande majorité des systèmes d'IA se situent ici : filtres anti-spam, assistance à la rédaction, moteurs de recommandation, outils de classification simples. Aucune étape de conformité n'est requise, bien que des codes de conduite volontaires soient encouragés.

Les huit domaines à haut risque (Annexe III)

Si votre système d'IA opère dans l'un de ces huit domaines, il est probablement à haut risque et soumis au cadre de conformité complet :

1. Biométrie Identification biométrique à distance, catégorisation biométrique fondée sur des attributs sensibles, reconnaissance d'émotions.

2. Infrastructures critiques IA gérant ou opérant des infrastructures numériques critiques, le trafic routier, ou les réseaux d'approvisionnement en eau, gaz, chauffage ou électricité.

3. Éducation et formation professionnelle Systèmes déterminant l'accès aux établissements, évaluant les résultats d'apprentissage, ou surveillant les étudiants pendant les examens.

4. Emploi et gestion des travailleurs Outils de recrutement (ciblage d'offres d'emploi, filtrage de CV, évaluation des candidats), systèmes pour les promotions, licenciements, allocation des tâches et suivi des performances.

5. Services essentiels privés et publics Évaluation de la solvabilité, éligibilité aux prestations sociales ou aux soins de santé, tarification des assurances vie et santé, priorisation des appels d'urgence.

6. Application de la loi Évaluation du risque de victimisation ou de récidive, outils de type polygraphe, évaluation de la fiabilité des preuves, profilage criminel.

7. Migration, asile et contrôle aux frontières Traitement des demandes de visa et d'asile, évaluation des risques de sécurité aux frontières, identification biométrique dans les contextes migratoires.

8. Administration de la justice et processus démocratiques IA assistant les autorités judiciaires dans la recherche juridique ou la mise en application du droit, systèmes conçus pour influencer les résultats électoraux ou le comportement des électeurs.

Ce que les fournisseurs à haut risque doivent faire

Si votre système d'IA est à haut risque, vous devez réaliser les étapes suivantes avant de le mettre sur le marché européen :

  1. Système de gestion des risques (Article 9) — processus continu d'identification et d'atténuation des risques
  2. Gouvernance des données (Article 10) — les données d'entraînement doivent être pertinentes, représentatives et exemptes d'erreurs
  3. Documentation technique (Article 11, Annexe IV) — dossier complet sur la conception, le développement et l'évaluation du système
  4. Journalisation et traçabilité (Article 12) — journalisation automatique des événements pour le suivi post-marché
  5. Transparence envers les déployeurs (Article 13) — instructions claires permettant aux déployeurs de comprendre les capacités et les limites
  6. Supervision humaine (Article 14) — les humains doivent pouvoir surveiller, intervenir et annuler les décisions du système
  7. Exactitude, robustesse et cybersécurité (Article 15) — indicateurs de performance documentés et mesures de sécurité
  8. Évaluation de la conformité (Article 43) — vérification interne ou tierce selon le type de système
  9. Déclaration UE de conformité (Article 47) — déclaration formelle que le système répond aux exigences de l'AI Act
  10. Enregistrement (Article 49) — inscription dans la base de données européenne des systèmes d'IA à haut risque

Les dates clés à retenir

Date Ce qui s'applique
1er août 2024 Entrée en vigueur de l'AI Act
2 février 2025 Pratiques d'IA interdites exécutoires
2 août 2025 Obligations GPAI ; structure de gouvernance active
2 août 2026 Application complète pour les systèmes à haut risque ; pouvoirs d'exécution de l'AI Office
2 août 2027 Article 6(1) applicable ; délai de conformité pour les modèles GPAI existants

L'AI Act s'applique-t-il à mon entreprise ?

Posez-vous trois questions :

1. Est-ce que je développe ou déploie des systèmes d'IA ? Si oui, et que ces systèmes affectent des personnes dans l'UE, l'AI Act s'applique quelle que soit la localisation de votre entreprise.

2. Que fait concrètement mon IA ? Mappez les sorties de votre système sur les quatre niveaux de risque. La plupart des systèmes se situent au niveau minimal. Mais si votre système prend ou influence des décisions concernant des personnes — recrutement, crédit, santé, éducation — vérifiez l'Annexe III attentivement.

3. Quel est mon rôle dans la chaîne de valeur ? Les obligations du fournisseur sont plus étendues que celles du déployeur. Si vous intégrez un modèle d'IA tiers dans votre produit, vous pouvez être considéré comme fournisseur au sens de l'AI Act même si vous n'avez pas développé le modèle sous-jacent.

Comment DilAIg vous aide

Déterminer votre niveau de risque et vos obligations manuellement, c'est lire 144 articles, 13 annexes et un corpus croissant de lignes directrices de la Commission. DilAIg compresse cela en un audit de 50 questions qui prend 20 minutes.

L'audit classe votre système selon les quatre niveaux de risque de l'AI Act, identifie vos obligations applicables article par article et génère un plan d'action priorisé. Pour les systèmes à haut risque, il produit ensuite les documents obligatoires — FRIA, Déclaration UE de conformité, Notice de transparence et Documentation technique — sous forme de projets professionnels prêts pour la révision juridique.

Démarrer votre audit AI Act gratuit →

Voir comment ça fonctionne →

FAQ : Les bases de l'AI Act

Quand l'AI Act est-il entré en vigueur ?

L'AI Act est entré en vigueur le 1er août 2024. Les obligations s'appliquent progressivement : les pratiques interdites depuis février 2025, les règles GPAI depuis août 2025, et le cadre complet pour les systèmes à haut risque depuis août 2026.

L'AI Act s'applique-t-il aux entreprises hors UE ?

Oui. Si votre système d'IA affecte des personnes dans l'UE — que ce soit via un déploiement par une entreprise européenne ou une utilisation directe par des résidents européens — l'AI Act s'applique. Les fournisseurs non établis dans l'UE doivent désigner un représentant autorisé en Europe.

Quelle est la différence entre fournisseur et déployeur ?

Le fournisseur développe un système d'IA et le met sur le marché. Le déployeur l'utilise dans un contexte professionnel. Les fournisseurs font face à des obligations plus étendues (évaluation de la conformité, documentation technique, enregistrement). Les déployeurs doivent notamment réaliser des FRIA pour certains systèmes à haut risque et mettre en place une supervision humaine adéquate.

Quelles sont les amendes prévues par l'AI Act ?

Jusqu'à 7 % du chiffre d'affaires annuel mondial pour le déploiement d'un système d'IA interdit, 3 % pour les violations des obligations GPAI et la plupart des autres obligations, et 1 % pour la fourniture d'informations incorrectes aux autorités.

L'AI Act est-il l'équivalent du RGPD pour l'IA ?

Pas exactement. Le RGPD encadre le traitement des données personnelles. L'AI Act encadre spécifiquement les systèmes d'IA. Ils se recoupent significativement — notamment autour de la prise de décision automatisée, la gouvernance des données et les droits fondamentaux — mais ce sont des cadres juridiques distincts avec des obligations de conformité distinctes.

Points clés à retenir

  • L'AI Act (Règlement 2024/1689) est la première loi mondiale sur l'IA, en vigueur depuis août 2024
  • Il s'applique à toute entreprise dont l'IA affecte des utilisateurs dans l'UE — portée extraterritoriale comme le RGPD
  • Quatre niveaux de risque : interdit, haut risque, risque limité, risque minimal
  • Les systèmes à haut risque (Annexe III) doivent compléter un cadre de conformité complet avant la mise sur le marché
  • La majorité des systèmes d'IA ne font face à aucune obligation obligatoire
  • Les amendes atteignent 7 % du chiffre d'affaires mondial pour les violations les plus graves
  • L'audit de 50 questions de DilAIg classe votre système et génère les documents obligatoires en 20 minutes

Sources

Votre système IA est-il conforme ?

Audit gratuit en 20 minutes.

Démarrer l'audit