30 jours d'essai gratuit, risques IA générative :Commencer
Demander une démo
ActiveEuropean UnionLawEn vigueur : 2024-08-01

Règlement de l'Union européenne sur l'intelligence artificielle

La première loi complète au monde sur l'IA, qui établit un cadre fondé sur les risques pour les systèmes d'IA dans l'ensemble du marché unique de l'UE.

Vue d'ensemble

L'EU AI Act (Règlement 2024/1689) est le premier cadre juridique complet au monde pour l'intelligence artificielle. Adopté le 13 juin 2024, il établit des règles harmonisées pour le développement, la mise sur le marché, la mise en service et l'utilisation des systèmes d'IA au sein de l'Union européenne.

Le règlement adopte une approche fondée sur les risques, classant les systèmes d'IA en quatre niveaux : risque inacceptable (interdit), risque élevé (strictement réglementé), risque limité (obligations de transparence) et risque minimal (largement non réglementé). Ce cadre par paliers garantit que les exigences les plus strictes s'appliquent aux systèmes d'IA qui présentent le plus grand préjudice potentiel pour la santé, la sécurité et les droits fondamentaux.

Le règlement s'applique aux fournisseurs de systèmes d'IA mis sur le marché de l'UE, que ces fournisseurs soient établis dans l'UE ou dans un pays tiers. Il s'applique également aux déployeurs de systèmes d'IA situés dans l'UE ainsi qu'aux fournisseurs et déployeurs situés en dehors de l'UE lorsque les résultats produits par le système d'IA sont utilisés dans l'UE.

Parmi les innovations clés figurent la création de bacs à sable réglementaires pour l'IA, des évaluations de conformité obligatoires pour les systèmes d'IA à haut risque, des exigences de transparence et de supervision humaine, ainsi que la création du European AI Office chargé de coordonner l'application. Le règlement introduit également des règles spécifiques pour les modèles d'IA à usage général (GPAI), y compris des obligations supplémentaires pour les modèles GPAI présentant un risque systémique.

Les sanctions en cas de non-conformité sont importantes : jusqu'à €35 million ou 7% du chiffre d'affaires annuel mondial pour les pratiques d'IA interdites, jusqu'à €15 million ou 3% pour les violations d'autres dispositions, et jusqu'à €7.5 million ou 1% pour la fourniture d'informations incorrectes. Pour les PME et les jeunes entreprises, c'est le plus faible des deux montants qui s'applique.

L'EU AI Act représente un changement de paradigme dans la réglementation technologique, passant de règles sectorielles à un cadre horizontal couvrant l'IA dans tous les secteurs. Les professionnels de la conformité doivent comprendre que ce règlement aura une portée extraterritoriale comparable à celle du RGPD, affectant les organisations du monde entier qui desservent le marché de l'UE.

Le règlement impose également la création d'autorités nationales compétentes dans chaque État membre, la mise en place d'un comité de l'IA destiné à faciliter une application cohérente du règlement, et la désignation d'une fonction de médiateur de l'IA par l'intermédiaire du European AI Office.

Pour les organisations qui développent ou déploient de l'IA, l'EU AI Act exige une réévaluation fondamentale des pratiques de gouvernance de l'IA. Cela comprend la mise en œuvre de systèmes de gestion des risques, la tenue d'une documentation technique, la garantie d'une gouvernance des données pour les jeux de données d'entraînement, l'établissement de systèmes de gestion de la qualité et la fourniture de transparence aux utilisateurs concernant les contenus générés par l'IA.

Le règlement met particulièrement l'accent sur les analyses d'impact sur les droits fondamentaux pour les systèmes d'IA à haut risque utilisés par les organismes publics ou les entités privées fournissant des services publics. Les déployeurs de systèmes d'IA à haut risque dans des domaines tels que le maintien de l'ordre, la gestion des migrations et les infrastructures critiques doivent réaliser ces analyses avant de mettre les systèmes en service.

Exigences clés

1

Pratiques d'IA interdites : notation sociale, identification biométrique en temps réel dans les espaces publics (avec exceptions), techniques de manipulation, exploitation des vulnérabilités

2

Les systèmes d'IA à haut risque doivent faire l'objet d'une évaluation de conformité avant leur mise sur le marché

3

Système de gestion des risques obligatoire couvrant l'ensemble du cycle de vie du système d'IA

4

Exigences de gouvernance des données pour les jeux de données d'entraînement, de validation et de test

5

Obligations de documentation technique et de tenue de registres

6

Obligations de transparence : les utilisateurs doivent être informés lorsqu'ils interagissent avec une IA

7

Exigences de supervision humaine pour les systèmes d'IA à haut risque

8

Exigences d'exactitude, de robustesse et de cybersécurité

9

Mise en œuvre d'un système de gestion de la qualité

10

Enregistrement dans la base de données publique de l'UE pour les systèmes d'IA à haut risque

11

Les fournisseurs de modèles d'IA à usage général doivent tenir une documentation technique et fournir des informations aux fournisseurs en aval

12

Les modèles GPAI présentant un risque systémique nécessitent des évaluations de modèles, des tests contradictoires et la déclaration des incidents graves

13

Les contenus générés par l'IA doivent être identifiés comme tels (hypertrucages, textes synthétiques)

14

Analyse d'impact sur les droits fondamentaux pour certains déploiements à haut risque

Dates clés et calendrier

April 2021
La Commission européenne publie sa proposition initiale
December 2023
Accord politique conclu entre les institutions de l'UE
March 2024
Le Parlement européen adopte l'AI Act
May 2024
Le Conseil de l'UE approuve formellement
1 August 2024
L'AI Act entre en vigueur
2 February 2025
L'interdiction des pratiques d'IA interdites s'applique
2 August 2025
Les obligations relatives aux modèles GPAI s'appliquent ; les dispositions de gouvernance prennent effet
July 2025
Le Code de bonnes pratiques GPAI publié par le European AI Office fournit un cadre de conformité pour les fournisseurs de modèles GPAI. L'adhésion est volontaire mais offre une présomption de conformité avec les obligations du chapitre V.
18 July 2025
La Commission européenne publie un projet de lignes directrices pour les modèles GPAI, établissant un seuil de calcul de 10²³ FLOPs pour la classification des modèles GPAI et précisant le champ d'application, les obligations relatives au cycle de vie et les critères de risque systémique.
November 2025
La Commission européenne propose le paquet Digital Omnibus comportant des amendements visant à simplifier la mise en œuvre ; elle propose de reporter les exigences relatives à l'IA à haut risque (annexe III) au 2 décembre 2027 (sous réserve du processus législatif)
2 August 2026
La plupart des dispositions s'appliquent, y compris les obligations relatives à l'IA à haut risque
2 August 2027
Les obligations relatives aux systèmes d'IA à haut risque de l'annexe I (produits réglementés) s'appliquent

Qui est concerné

  • Les fournisseurs de systèmes d'IA mettant des produits sur le marché de l'UE (quel que soit leur lieu d'établissement)
  • Les déployeurs (utilisateurs) de systèmes d'IA au sein de l'UE
  • Les importateurs et distributeurs de systèmes d'IA dans l'UE
  • Les fabricants de produits mettant des produits intégrant de l'IA sur le marché de l'UE
  • Les représentants autorisés de fournisseurs hors UE
  • Toute organisation dont les résultats d'IA sont utilisés au sein de l'UE

Questions fréquentes

Quand l'EU AI Act prend-il pleinement effet ?

L'EU AI Act est entré en vigueur le 1er août 2024 avec une mise en œuvre échelonnée. Les interdictions des pratiques prohibées s'appliquent à partir de février 2025, les obligations GPAI à partir d'août 2025, et la plupart des autres dispositions, y compris les exigences relatives à l'IA à haut risque, à partir d'août 2026.

L'EU AI Act s'applique-t-il aux entreprises situées en dehors de l'UE ?

Oui. L'EU AI Act a une portée extraterritoriale. Il s'applique à tout fournisseur mettant des systèmes d'IA sur le marché de l'UE et à tout déployeur situé dans l'UE, quel que soit le lieu d'établissement du fournisseur. Il s'applique également lorsque les résultats de l'IA sont utilisés dans l'UE.

Quelles sont les sanctions en cas de non-conformité ?

Les amendes peuvent atteindre €35 million ou 7% du chiffre d'affaires annuel mondial pour les pratiques d'IA interdites, €15 million ou 3% pour les autres violations, et €7.5 million ou 1% pour la fourniture d'informations incorrectes. Des plafonds inférieurs s'appliquent aux PME et aux jeunes entreprises.

Regulation Updates

Stay Ahead of AI Regulations

Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.