Glossaire des affaires
Règlement européen sur l'IA (AI Act)
Le règlement européen sur l'intelligence artificielle (Règlement UE 2024/1689) est le premier cadre juridique complet au monde sur l'intelligence artificielle. Il classe les systèmes d'IA par niveau de risque, impose des obligations aux développeurs, déployeurs et importateurs, et établit des sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les violations les plus graves. Il est entré en vigueur en août 2024 avec des délais de conformité progressifs jusqu'en 2027.
NumériqueQu’est-ce que le règlement européen sur l’IA ?
Le règlement européen sur l’intelligence artificielle (Règlement UE 2024/1689) est entré en vigueur le 1er août 2024, faisant de l’UE la première juridiction au monde à adopter un cadre juridique complet et horizontal sur l’intelligence artificielle. Contrairement à la réglementation sectorielle de l’IA (comme les règles algorithmiques dans DORA pour les services financiers), le règlement sur l’IA s’applique à tous les secteurs et cas d’usage.
Le règlement sur l’IA utilise un système de classification basé sur les risques : plus le préjudice potentiel d’un système d’IA est élevé, plus les obligations sont strictes. Cela crée quatre principales catégories de risque.
Les quatre catégories de risque
1. Risque inacceptable (pratiques d’IA interdites)
Ces applications d’IA sont interdites depuis le 2 février 2025 :
- Notation sociale par les autorités publiques
- Identification biométrique à distance en temps réel dans les espaces publics par les forces de l’ordre (avec de rares exceptions)
- IA qui manipule des personnes par des techniques subliminales ou exploite leurs vulnérabilités
- Reconnaissance des émotions sur les lieux de travail et dans les établissements d’enseignement (avec des exceptions limitées)
- Catégorisation biométrique déduisant des caractéristiques sensibles (race, opinion politique, religion, orientation sexuelle)
- IA utilisée pour créer ou étendre des bases de données de reconnaissance faciale par collecte non ciblée
- « Police prédictive » basée sur le profilage
2. Systèmes d’IA à haut risque
Autorisés mais soumis à des obligations significatives avant et après la mise sur le marché. Les systèmes d’IA à haut risque comprennent :
- L’identification et la catégorisation biométriques
- La gestion des infrastructures critiques (réseaux énergétiques, eau, transport)
- L’éducation et la formation professionnelle (accès, évaluation)
- L’emploi, la gestion des travailleurs et l’accès au travail indépendant (filtrage de CV, surveillance, attribution des tâches)
- L’accès aux services privés et publics essentiels (notation de crédit, souscription d’assurance, prestations sociales)
- Les forces de l’ordre (évaluations des risques, fiabilité des preuves, prédiction de la criminalité)
- La migration, l’asile et le contrôle aux frontières
- L’administration de la justice
Les obligations pour les IA à haut risque comprennent : système de gestion des risques, documentation technique, gouvernance des données, transparence, mécanismes de supervision humaine, exactitude et robustesse, et inscription dans la base de données de l’UE sur l’IA.
3. Risque limité — obligations de transparence
Les systèmes tels que les chatbots, les deepfakes et les contenus générés par IA doivent informer les utilisateurs qu’ils interagissent avec une IA ou que le contenu est généré artificiellement.
4. Risque minimal
La plupart des applications d’IA actuelles (filtres anti-spam, IA dans les jeux vidéo, systèmes de recommandation basiques) entrent dans cette catégorie. Aucune obligation mandatoire ne s’applique, bien que des codes de conduite volontaires soient encouragés.
Modèles d’IA à usage général (GPAI)
Le règlement sur l’IA introduit des règles spécifiques pour les modèles d’IA à usage général (GPAI) — de grands modèles d’IA entraînés sur des données vastes pouvant réaliser un large éventail de tâches (comme les grands modèles de langage). Tous les fournisseurs de modèles GPAI doivent :
- Fournir une documentation technique et des instructions d’utilisation
- Respecter le droit d’auteur de l’UE
- Publier des résumés des données d’entraînement
Les modèles GPAI présentant un risque systémique (entraînés avec plus de 10^25 FLOPs, ou désignés comme tels) font face à des obligations supplémentaires : tests adversariaux, signalement des incidents graves au Bureau européen de l’IA, et mesures de cybersécurité.
Calendrier de conformité
| Date | Obligation |
|---|---|
| 1er août 2024 | Entrée en vigueur du règlement sur l’IA |
| 2 février 2025 | Application des pratiques d’IA interdites |
| 2 août 2025 | Application des règles pour les modèles GPAI ; provisions de gouvernance applicables |
| 2 août 2026 | Systèmes d’IA à haut risque en annexe I applicables |
| 2 août 2027 | Toutes les dispositions restantes, y compris les systèmes à haut risque de l’annexe III |
Obligations par rôle
Le règlement sur l’IA distingue entre les fournisseurs (ceux qui développent et mettent des systèmes d’IA sur le marché), les déployeurs (ceux qui utilisent des systèmes d’IA dans un contexte professionnel), les importateurs et les distributeurs. Les obligations sont les plus lourdes pour les fournisseurs, mais les déployeurs de systèmes à haut risque ont également des obligations importantes concernant l’utilisation selon les instructions, la mise en œuvre de la supervision humaine et la formation des employés.
Interaction avec le RGPD
Le règlement sur l’IA ne remplace pas le RGPD. Les deux s’appliquent simultanément lorsque l’IA traite des données à caractère personnel. Une analyse d’impact relative à la protection des données (AIPD) au titre de l’article 35 du RGPD peut être requise parallèlement à une évaluation des risques au titre du règlement sur l’IA. L’AEPD est susceptible de jouer un rôle dans l’application du règlement sur l’IA compte tenu de son mandat existant en matière de protection des données.
Application et sanctions
Le Bureau européen de l’IA (créé au sein de la Commission européenne) supervise la conformité des modèles GPAI. En Espagne, l’autorité de surveillance de l’IA est en cours de création dans le cadre réglementaire existant.
Sanctions :
- Violations des pratiques interdites : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial
- Violations des systèmes à haut risque : jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial
- Informations incorrectes aux autorités : jusqu’à 7,5 millions d’euros ou 1,5 % du chiffre d’affaires annuel mondial
Comment BMC peut vous aider
Nous conseillons les entreprises sur la classification des risques au titre du règlement sur l’IA de leurs systèmes d’IA actuels et planifiés, la cartographie des obligations des déployeurs, la rédaction de politiques de gouvernance de l’IA, l’interaction entre le règlement sur l’IA et les programmes de conformité RGPD, et la stratégie réglementaire pour les lancements de produits d’IA dans l’UE.
Questions fréquentes
Quand le règlement européen sur l'IA s'applique-t-il aux entreprises espagnoles ?
Quel régulateur espagnol applique le règlement européen sur l'IA ?
Quelles sont les sanctions pour les violations du règlement sur l'IA en Espagne ?
Le règlement sur l'IA remplace-t-il les obligations RGPD en Espagne ?
Qu'est-ce qu'un système d'IA à haut risque en vertu du règlement sur l'IA ?
Service associé
Découvrez nos services dans ce domaine
Secteurs associés
Articles associés
févr. 2025
AI Act : Obligations relatives aux systèmes à haut risque
mai 2024
AI Act européen publié : ce que les entreprises doivent savoir
sept. 2024
Intelligence artificielle dans la stratégie d'entreprise
janv. 2024
Rapport juridique annuel 2023 : Loi sur les lanceurs d'alerte, Loi sur le logement et maturation de la conformité d'entreprise
Demandez une consultation personnalisée
Nos experts sont prêts à analyser votre situation et vous proposer des solutions sur mesure.