Loi européenne sur l’IA : résumé pratique des 13 chapitres

Résumé exécutif

La loi européenne sur l’IA, officiellement le règlement (UE) 2024/1689, crée un cadre commun pour favoriser une IA sûre, transparente et digne de confiance. Elle ne traite pas tous les usages de la même manière : plus l’impact potentiel sur les personnes, la sécurité ou les droits fondamentaux est élevé, plus les exigences augmentent.

Dans une organisation, les premiers sujets à traiter sont très concrets : inventorier les outils IA, classer les usages, vérifier les fournisseurs, protéger les données, assurer la validation humaine et former les collaborateurs.

Version blog : résumé non juridique, orienté gouvernance IT, conformité, sécurité et décisions de direction.

Les 13 chapitres de l’AI Act en résumé

Dispositions générales

Ce chapitre définit l’objet du règlement, son champ d’application, les définitions clés et l’obligation de maîtrise de l’IA. Il fixe le vocabulaire commun : système d’IA, fournisseur, déployeur, importateur, distributeur, données, risques et responsabilités.

Action IT : Formaliser un inventaire des usages IA et un vocabulaire commun entre IT, métiers, direction, DPO et achats.

Pratiques interdites en matière d’IA

Le texte interdit les usages considérés comme présentant un risque inacceptable, par exemple certaines manipulations nuisibles, l’exploitation de vulnérabilités, la notation sociale ou certains usages abusifs liés à la biométrie et à la surveillance.

Action IT : Ajouter des règles d’exclusion dans la politique IA interne, notamment pour les usages RH, surveillance, scoring, biométrie et manipulation.

Systèmes d’IA à haut risque

C’est le chapitre le plus opérationnel. Il explique comment classifier les systèmes à haut risque et impose des exigences fortes : gestion des risques, gouvernance des données, documentation technique, enregistrement, logs, transparence, supervision humaine, exactitude, robustesse et cybersécurité.

Action IT : Identifier les outils IA utilisés dans l’emploi, l’éducation, les services essentiels, la sécurité, les infrastructures critiques ou les décisions ayant un impact significatif sur les personnes.

Obligations de transparence

Certains systèmes doivent signaler clairement qu’ils utilisent de l’IA. Les utilisateurs doivent pouvoir savoir quand ils interagissent avec une IA ou lorsqu’un contenu a été généré ou manipulé artificiellement, selon les cas prévus par le règlement.

Action IT : Prévoir des mentions visibles pour chatbots, assistants, générateurs de contenu, deepfakes, voix synthétiques et automatisations en contact avec les utilisateurs.

Modèles d’IA à usage général

Ce chapitre vise les modèles pouvant servir à de nombreux usages, comme les grands modèles de langage ou les modèles génératifs. Il introduit des obligations pour les fournisseurs, avec des exigences renforcées pour les modèles présentant un risque systémique.

Action IT : Demander aux fournisseurs leurs informations de conformité : documentation, résumé des données d’entraînement, gestion du droit d’auteur, sécurité, limitations et conditions d’usage.

Mesures de soutien à l’innovation

Le règlement prévoit des bacs à sable réglementaires, des tests en conditions réelles et des mesures de soutien aux PME et start-up. L’objectif est de permettre l’innovation tout en gardant un cadre de contrôle.

Action IT : Lancer les pilotes IA dans un cadre limité : objectifs, données autorisées, validation humaine, journalisation et critères d’arrêt.

Gouvernance

Ce chapitre organise la gouvernance européenne et nationale : Bureau de l’IA, Comité européen de l’intelligence artificielle, forum consultatif, panel scientifique et autorités nationales compétentes.

Action IT : Désigner un responsable interne pour suivre la gouvernance IA, centraliser les preuves et répondre aux demandes clients, auditeurs ou autorités.

Base de données de l’UE pour les systèmes à haut risque

Les systèmes d’IA à haut risque listés à l’annexe III peuvent devoir être enregistrés dans une base de données européenne. Cette logique renforce la traçabilité et la transparence des systèmes concernés.

Action IT : Vérifier avec les fournisseurs si un outil est concerné par un enregistrement et conserver la preuve dans le dossier fournisseur.

Surveillance après commercialisation, partage d’informations et surveillance du marché

Le règlement prévoit le suivi des systèmes après mise sur le marché, le signalement d’incidents graves, les pouvoirs de surveillance, les voies de recours et le droit à explication dans certaines décisions individuelles.

Action IT : Connecter la gouvernance IA aux processus existants : gestion des incidents, sécurité, réclamations, audit, contrôle fournisseur et amélioration continue.

Codes de conduite et lignes directrices

La Commission peut publier des lignes directrices et encourager des codes de conduite, y compris pour des usages qui ne sont pas strictement à haut risque. Ces documents aideront à interpréter et appliquer le règlement.

Action IT : Surveiller les lignes directrices officielles et les traduire en règles simples : usages autorisés, validation, confidentialité, contrôle qualité et escalade.

Délégation de pouvoir et procédure de comité

Ce chapitre permet d’adapter certaines parties du règlement dans le temps. L’AI Act n’est donc pas un cadre figé : des ajustements, actes délégués et précisions peuvent suivre.

Action IT : Prévoir une veille réglementaire et revoir la politique IA au moins une fois par an ou lors d’un changement majeur d’outil.

Sanctions

Le règlement prévoit des pénalités et amendes administratives, avec des niveaux différents selon la gravité du manquement. Les sanctions visent notamment les pratiques interdites, les obligations liées aux systèmes à haut risque et les modèles d’IA à usage général.

Action IT : Ne pas se limiter à une déclaration de principe : conserver des preuves de classification, validation, formation, contrats, contrôles et décisions.

Dispositions finales

Le dernier chapitre traite des modifications d’autres textes européens, des systèmes déjà sur le marché, de l’évaluation, du réexamen et de l’entrée en vigueur/application progressive du règlement.

Action IT : Maintenir une feuille de route avec les échéances applicables, les propriétaires d’actions et les dépendances avec RGPD, cybersécurité, achats et conformité.

Dates à surveiller

1er août 2024 — entrée en vigueur du règlement.

2 février 2025 — application des pratiques interdites et des obligations de maîtrise de l’IA.

2 août 2025 — application de règles de gouvernance et d’obligations liées aux modèles d’IA à usage général.

2 août 2026 — application générale du règlement, avec exceptions et dispositions transitoires.

2 décembre 2027 et 2 août 2028 — calendrier annoncé pour certaines règles relatives aux systèmes à haut risque dans le cadre de l’accord politique de simplification Omnibus VII ; à vérifier lors de la publication définitive des textes applicables.

Ce qu’un service IT ou une PME devrait faire maintenant

InventorierLister les outils IA utilisés officiellement et officieusement.

ClassifierIdentifier les usages interdits, sensibles, à haut risque ou à faible risque.

CadrerDéfinir une politique d’usage : données autorisées, validation, responsabilités.

FormerExpliquer les limites, risques, obligations et bons réflexes aux utilisateurs.

ContractualiserDemander aux fournisseurs des preuves de conformité et des engagements de sécurité.

DocumenterConserver les décisions, logs, analyses, validations et exceptions.

Conclusion

L’AI Act ne doit pas être lu uniquement comme une contrainte réglementaire. C’est aussi un cadre utile pour reprendre le contrôle des usages IA, réduire le shadow AI, sécuriser les données et clarifier les responsabilités. La bonne première étape consiste à transformer le règlement en une cartographie simple des usages, des risques, des fournisseurs et des actions prioritaires.

Sources officielles utiles

Lire cet article en anglais.
English

Ce contenu est une synthèse pratique destinée à la gouvernance IT. Il ne remplace pas un avis juridique adapté à votre contexte.