La première loi complète au monde sur l'IA, qui établit un cadre fondé sur les risques pour les systèmes d'IA dans l'ensemble du marché unique de l'UE.
L'EU AI Act (Règlement 2024/1689) est le premier cadre juridique complet au monde pour l'intelligence artificielle. Adopté le 13 juin 2024, il établit des règles harmonisées pour le développement, la mise sur le marché, la mise en service et l'utilisation des systèmes d'IA au sein de l'Union européenne.
Le règlement adopte une approche fondée sur les risques, classant les systèmes d'IA en quatre niveaux : risque inacceptable (interdit), risque élevé (strictement réglementé), risque limité (obligations de transparence) et risque minimal (largement non réglementé). Ce cadre par paliers garantit que les exigences les plus strictes s'appliquent aux systèmes d'IA qui présentent le plus grand préjudice potentiel pour la santé, la sécurité et les droits fondamentaux.
Le règlement s'applique aux fournisseurs de systèmes d'IA mis sur le marché de l'UE, que ces fournisseurs soient établis dans l'UE ou dans un pays tiers. Il s'applique également aux déployeurs de systèmes d'IA situés dans l'UE ainsi qu'aux fournisseurs et déployeurs situés en dehors de l'UE lorsque les résultats produits par le système d'IA sont utilisés dans l'UE.
Parmi les innovations clés figurent la création de bacs à sable réglementaires pour l'IA, des évaluations de conformité obligatoires pour les systèmes d'IA à haut risque, des exigences de transparence et de supervision humaine, ainsi que la création du European AI Office chargé de coordonner l'application. Le règlement introduit également des règles spécifiques pour les modèles d'IA à usage général (GPAI), y compris des obligations supplémentaires pour les modèles GPAI présentant un risque systémique.
Les sanctions en cas de non-conformité sont importantes : jusqu'à €35 million ou 7% du chiffre d'affaires annuel mondial pour les pratiques d'IA interdites, jusqu'à €15 million ou 3% pour les violations d'autres dispositions, et jusqu'à €7.5 million ou 1% pour la fourniture d'informations incorrectes. Pour les PME et les jeunes entreprises, c'est le plus faible des deux montants qui s'applique.
L'EU AI Act représente un changement de paradigme dans la réglementation technologique, passant de règles sectorielles à un cadre horizontal couvrant l'IA dans tous les secteurs. Les professionnels de la conformité doivent comprendre que ce règlement aura une portée extraterritoriale comparable à celle du RGPD, affectant les organisations du monde entier qui desservent le marché de l'UE.
Le règlement impose également la création d'autorités nationales compétentes dans chaque État membre, la mise en place d'un comité de l'IA destiné à faciliter une application cohérente du règlement, et la désignation d'une fonction de médiateur de l'IA par l'intermédiaire du European AI Office.
Pour les organisations qui développent ou déploient de l'IA, l'EU AI Act exige une réévaluation fondamentale des pratiques de gouvernance de l'IA. Cela comprend la mise en œuvre de systèmes de gestion des risques, la tenue d'une documentation technique, la garantie d'une gouvernance des données pour les jeux de données d'entraînement, l'établissement de systèmes de gestion de la qualité et la fourniture de transparence aux utilisateurs concernant les contenus générés par l'IA.
Le règlement met particulièrement l'accent sur les analyses d'impact sur les droits fondamentaux pour les systèmes d'IA à haut risque utilisés par les organismes publics ou les entités privées fournissant des services publics. Les déployeurs de systèmes d'IA à haut risque dans des domaines tels que le maintien de l'ordre, la gestion des migrations et les infrastructures critiques doivent réaliser ces analyses avant de mettre les systèmes en service.
Pratiques d'IA interdites : notation sociale, identification biométrique en temps réel dans les espaces publics (avec exceptions), techniques de manipulation, exploitation des vulnérabilités
Les systèmes d'IA à haut risque doivent faire l'objet d'une évaluation de conformité avant leur mise sur le marché
Système de gestion des risques obligatoire couvrant l'ensemble du cycle de vie du système d'IA
Exigences de gouvernance des données pour les jeux de données d'entraînement, de validation et de test
Obligations de documentation technique et de tenue de registres
Obligations de transparence : les utilisateurs doivent être informés lorsqu'ils interagissent avec une IA
Exigences de supervision humaine pour les systèmes d'IA à haut risque
Exigences d'exactitude, de robustesse et de cybersécurité
Mise en œuvre d'un système de gestion de la qualité
Enregistrement dans la base de données publique de l'UE pour les systèmes d'IA à haut risque
Les fournisseurs de modèles d'IA à usage général doivent tenir une documentation technique et fournir des informations aux fournisseurs en aval
Les modèles GPAI présentant un risque systémique nécessitent des évaluations de modèles, des tests contradictoires et la déclaration des incidents graves
Les contenus générés par l'IA doivent être identifiés comme tels (hypertrucages, textes synthétiques)
Analyse d'impact sur les droits fondamentaux pour certains déploiements à haut risque
L'EU AI Act est entré en vigueur le 1er août 2024 avec une mise en œuvre échelonnée. Les interdictions des pratiques prohibées s'appliquent à partir de février 2025, les obligations GPAI à partir d'août 2025, et la plupart des autres dispositions, y compris les exigences relatives à l'IA à haut risque, à partir d'août 2026.
Oui. L'EU AI Act a une portée extraterritoriale. Il s'applique à tout fournisseur mettant des systèmes d'IA sur le marché de l'UE et à tout déployeur situé dans l'UE, quel que soit le lieu d'établissement du fournisseur. Il s'applique également lorsque les résultats de l'IA sont utilisés dans l'UE.
Les amendes peuvent atteindre €35 million ou 7% du chiffre d'affaires annuel mondial pour les pratiques d'IA interdites, €15 million ou 3% pour les autres violations, et €7.5 million ou 1% pour la fourniture d'informations incorrectes. Des plafonds inférieurs s'appliquent aux PME et aux jeunes entreprises.
Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.