Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil, du 13 juin 2024, établissant des règles harmonisées en matière d'intelligence artificielle — l'AI Act — a été publié au Journal officiel de l'Union européenne le 12 août 2024 et est entré en vigueur le 1er août 2024. Il constitue le premier cadre réglementaire complet au monde en matière d'IA et établit des obligations différenciées selon le niveau de risque de chaque système, avec un calendrier de mise en œuvre progressif culminant en août 2027 pour les systèmes d'IA intégrés dans des produits couverts par la législation sur la sécurité des produits.
Le système de classification des risques de l’AI Act
L’AI Act classe les systèmes d’IA en quatre catégories, avec des obligations croissantes à mesure que le niveau de risque augmente :
Pratiques d’IA interdites (Article 5) : Exécutoires depuis le 2 février 2025. Celles-ci comprennent les systèmes de notation sociale par les autorités publiques conditionnant un traitement différencié dans des domaines sans rapport avec la collecte de données, les systèmes de catégorisation biométrique déduisant des caractéristiques protégées (race, opinion politique, religion, orientation sexuelle), l’identification biométrique à distance en temps réel dans les espaces publics à des fins répressives (avec des exceptions limitées), et les systèmes de manipulation subliminale exploitant les vulnérabilités de groupes spécifiques.
Systèmes à haut risque (Annexe III) : Exécutoires à compter du 2 août 2026. Cette catégorie couvre les systèmes d’IA utilisés dans les infrastructures critiques, l’éducation, l’emploi, l’accès aux services essentiels, les forces de l’ordre, la gestion des frontières et les migrations, l’administration de la justice, ainsi que les systèmes constituant des composants de sécurité de produits réglementés au titre de la législation harmonisée de l’UE.
Systèmes à risque limité : Obligations de transparence de base, exécutoires à compter d’août 2026, couvrant les systèmes tels que les chatbots (les utilisateurs doivent savoir qu’ils interagissent avec une IA), les systèmes de reconnaissance des émotions et les systèmes de génération de contenu synthétique (les deepfakes doivent être clairement étiquetés).
Systèmes à risque minimal : Aucune obligation spécifique au titre de l’AI Act, bien que les règles générales de responsabilité civile et de protection des données s’appliquent.
Systèmes à haut risque de l’Annexe III : analyse détaillée
L’Annexe III de l’AI Act énumère huit catégories de systèmes à haut risque présentant une pertinence particulière pour les entreprises opérant en Espagne :
Emploi et gestion des ressources humaines. Les systèmes d’IA utilisés pour le recrutement et la sélection — y compris le tri de CV, les entretiens automatisés et la notation des candidats — sont à haut risque. Il en va de même pour les systèmes d’évaluation des performances, de décisions de promotion ou de licenciement. Cela a des implications directes pour les départements RH et les plateformes de recrutement en ligne opérant en Espagne.
Accès aux services essentiels. Les systèmes d’évaluation de la solvabilité des personnes physiques, de souscription de polices d’assurance vie et maladie, et d’évaluation des demandes de prestations sociales sont à haut risque. Cela concerne directement le secteur bancaire (scoring de crédit), le secteur de l’assurance et les administrations publiques disposant de systèmes de gestion des prestations.
Biométrie. Les systèmes d’identification fondés sur l’IA (reconnaissance faciale, reconnaissance vocale, analyse de la démarche) utilisés pour le contrôle d’accès aux installations, le suivi de la présence ou la vérification d’identité à distance sont à haut risque, sous réserve des exceptions applicables.
Infrastructures critiques. Les systèmes d’IA utilisés dans la gestion des réseaux électriques, de l’approvisionnement en eau, des transports et de la finance sont à haut risque. Les opérateurs d’infrastructures critiques en Espagne — qui sont également soumis à la Directive NIS2 — doivent intégrer les exigences de l’AI Act dans leur cadre de gestion des risques de cybersécurité.
Obligations des fournisseurs de systèmes à haut risque
Les obligations les plus exigeantes incombent aux fournisseurs (entreprises qui développent ou mettent sur le marché des systèmes d’IA à haut risque). Ces obligations au titre des Articles 9 à 17 de l’AI Act comprennent :
Système de gestion des risques (Article 9) : Un processus continu et documenté tout au long du cycle de vie du système, avec identification et atténuation des risques avant le déploiement et surveillance continue par la suite.
Gouvernance des données (Article 10) : Les données d’entraînement, de validation et de test doivent être pertinentes, représentatives, suffisamment exemptes d’erreurs et complètes, avec une attention particulière portée aux biais potentiels susceptibles de générer des résultats discriminatoires.
Documentation technique (Article 11 et Annexe IV) : Documentation détaillée du système avant le déploiement, couvrant la description générale du système, les données d’entraînement, les résultats de l’évaluation des performances, ainsi que les capacités et les limites du système.
Journalisation (Article 12) : Les systèmes à haut risque doivent générer des journaux d’événements automatiques permettant la traçabilité du fonctionnement du système, en particulier pour identifier les situations ayant donné lieu à des risques pour les droits fondamentaux.
Transparence et information des opérateurs (Article 13) : Le fournisseur doit fournir à l’opérateur des instructions d’utilisation contenant des informations sur les capacités et les limites du système, l’interprétation de ses résultats et la supervision humaine requise.
Supervision humaine (Article 14) : Les systèmes à haut risque doivent être conçus avec une interface homme-machine permettant à l’opérateur de superviser, comprendre, corriger, interrompre ou désactiver le système.
Exactitude, robustesse et cybersécurité (Article 15) : Niveaux appropriés d’exactitude, de robustesse face aux erreurs et aux manipulations, et de résistance aux attaques adverses.
Évaluation de la conformité et marquage CE
La plupart des systèmes à haut risque énumérés à l’Annexe III nécessitent une évaluation de la conformité avant leur déploiement. Pour les systèmes non soumis à une législation d’harmonisation antérieure (c’est-à-dire les systèmes de l’Annexe III qui ne sont pas des dispositifs médicaux, des machines ou des produits de sécurité), l’évaluation de la conformité peut être réalisée par voie d’auto-évaluation par le fournisseur, à condition que la documentation technique requise soit établie et que la déclaration de conformité UE soit émise.
Les systèmes à haut risque destinés à l’identification biométrique à distance et les systèmes destinés à être utilisés par les autorités répressives nécessitent une évaluation de la conformité par un organisme notifié externe.
À l’issue de l’évaluation, le fournisseur enregistre le système dans la base de données de l’UE sur l’IA gérée par la Commission européenne avant le déploiement. Cet enregistrement constitue un prérequis incontournable pour la commercialisation du système dans l’UE.
Sanctions : amendes pouvant atteindre 35 millions d’euros
L’Article 99 de l’AI Act établit un régime de sanctions administratives progressif en fonction de la gravité de l’infraction : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial total (le montant le plus élevé étant retenu) pour violation des interdictions de l’Article 5 ; jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires pour manquement aux autres obligations du Règlement ; et jusqu’à 7,5 millions d’euros ou 1,5 % du chiffre d’affaires pour la fourniture d’informations inexactes aux autorités nationales de surveillance.
Chez BMC, notre équipe juridique est spécialisée dans la cartographie et la mise en œuvre de la conformité à l’AI Act. Découvrez nos services de conformité juridique.
