Ir al contenido
Stratégie Actualité

Intelligence artificielle : Avancée de la réglementation européenne

Avancée réglementaire de l'AI Act (Règlement 2024/1689) : système de classification par risque (interdit, haut risque, limité, minimal), entrée en vigueur des interdictions en février 2025 et obligations pour les systèmes à haut risque en août 2026 pour les entreprises espagnoles.

6 min de lecture

Le Règlement européen sur l'Intelligence Artificielle (AI Act), dont la négociation a atteint un point critique en 2023, est la première réglementation mondiale complète sur les systèmes d'intelligence artificielle. Son approbation par le Parlement européen en mars 2024 et sa publication au Journal officiel en août 2024 — en tant que Règlement (UE) 2024/1689 — ont établi un cadre réglementaire directement applicable dans tous les États membres, couvrant les entreprises qui développent, commercialisent ou utilisent des systèmes d'IA dans l'UE. L'Espagne, comme les autres États membres, doit désigner son Autorité nationale de supervision de l'IA avant l'entrée en vigueur des délais d'application complets.

Approche fondée sur le risque

L’AI Act classe les systèmes d’IA en quatre catégories selon leur niveau de risque, avec des obligations proportionnées à chaque niveau :

  1. Risque inacceptable (interdit) : systèmes qui constituent une menace inacceptable pour les droits fondamentaux, tels que la surveillance biométrique de masse en temps réel dans les espaces publics à des fins répressives, les systèmes gouvernementaux de notation sociale, et la manipulation subliminale des comportements. Les interdictions dans ces catégories ont été appliquées six mois après l’entrée en vigueur du Règlement — c’est-à-dire à partir de février 2025.

  2. Haut risque : systèmes susceptibles de causer des dommages graves à la santé, à la sécurité ou aux droits fondamentaux. Ils sont soumis à des exigences strictes de pré-commercialisation et doivent passer des procédures d’évaluation de conformité obligatoires avant d’être mis sur le marché ou mis en service.

  3. Risque limité : systèmes soumis principalement à des obligations de transparence envers les utilisateurs, tels que les chatbots et les outils de génération de contenu synthétique (deepfakes). Les utilisateurs doivent être informés qu’ils interagissent avec un système d’IA.

  4. Risque minimal : la grande majorité des applications d’IA actuelles — filtres anti-spam, moteurs de recommandation de contenu, jeux vidéo alimentés par l’IA. Ceux-ci ne sont pas soumis à des exigences spécifiques de l’AI Act, bien que les entreprises puissent adhérer volontairement à des codes de conduite.

Systèmes à haut risque

L’Annexe III de l’AI Act liste les systèmes d’IA à haut risque. Les catégories les plus pertinentes pour les entreprises opérant en Espagne comprennent :

  • Infrastructures critiques : systèmes d’IA utilisés dans la gestion des réseaux d’infrastructures énergétiques, hydrauliques, de transport ou financières.
  • Éducation et formation : systèmes qui déterminent l’accès aux établissements d’enseignement ou évaluent les performances des étudiants.
  • Emploi et gestion des travailleurs : systèmes utilisés dans le recrutement (tri de CV, entretiens automatisés), l’évaluation des performances ou l’attribution des tâches. C’est l’un des domaines avec la plus grande adoption pratique parmi les entreprises de taille moyenne et grande.
  • Accès aux services essentiels : systèmes de scoring crédit, outils d’évaluation de la solvabilité, ou systèmes qui déterminent l’accès à l’assurance, aux prestations sociales ou aux services publics.
  • Répression et administration de la justice : systèmes qui assistent dans les enquêtes de police ou les décisions judiciaires.
  • Gestion des frontières et immigration : systèmes biométriques ou d’évaluation des risques utilisés dans les contrôles aux frontières.

Les entreprises qui utilisent ou commercialisent des systèmes dans l’une de ces catégories doivent mettre en œuvre, avant la mise sur le marché ou le déploiement :

  • Un système de gestion des risques documenté, maintenu et mis à jour tout au long du cycle de vie du système.
  • Des mesures de qualité des données pour les ensembles de données d’entraînement, de validation et de test, conçues pour prévenir les biais pertinents.
  • Une documentation technique complète permettant l’évaluation de conformité.
  • Une capacité automatique d’enregistrement des événements (journaux d’audit) pour la surveillance post-commercialisation.
  • Une transparence et des informations suffisantes pour que les utilisateurs puissent interpréter les résultats du système.
  • Une supervision humaine effective, y compris la capacité d’intervenir ou d’arrêter le système.
  • Une robustesse, une précision et une cybersécurité adéquates.

Avant la mise sur le marché, les systèmes à haut risque couverts par l’Annexe III doivent être enregistrés dans la base de données UE établie en vertu de l’article 71 du Règlement.

Calendrier d’application

Le Règlement (UE) 2024/1689 a établi un calendrier d’application progressif :

  • 6 mois après l’entrée en vigueur (février 2025) : interdictions absolues (catégorie risque inacceptable).
  • 12 mois (août 2025) : obligations pour les fournisseurs de modèles d’IA à usage général (GPAI), y compris les grands modèles de langage.
  • 24 mois (août 2026) : application complète pour la plupart des systèmes à haut risque listés à l’Annexe III, y compris ceux utilisés dans les décisions d’emploi, l’évaluation du crédit et l’accès aux services.
  • 36 mois (août 2027) : certains systèmes à haut risque listés à l’Annexe II (produits déjà couverts par la législation sectorielle de sécurité préexistante).

Implications pour les entreprises

Les entreprises doivent commencer dès maintenant à cartographier leurs systèmes d’IA pour déterminer quelle catégorie de risque s’applique. Cet inventaire doit être exhaustif : il couvre non seulement les systèmes développés en interne, mais aussi les outils tiers acquis auprès de fournisseurs et les modèles d’IA-as-a-service intégrés via des API.

Pour les entreprises agissant en tant que fournisseurs de systèmes à haut risque, la charge réglementaire est plus importante : elles doivent assurer la conformité avant la commercialisation, gérer les enregistrements dans la base de données UE, et maintenir des systèmes de qualité et de gestion des risques tout au long du cycle de vie du produit.

Pour les entreprises agissant en tant que déployeurs — c’est-à-dire les organisations utilisant des systèmes d’IA à haut risque développés par des tiers dans leurs propres opérations — les obligations comprennent l’assurance d’une supervision humaine effective, la non-modification des systèmes de manière à altérer leur évaluation de conformité, et le signalement des incidents graves à l’autorité de supervision.

Le régime de sanctions est significatif : les amendes pour l’utilisation de systèmes interdits peuvent atteindre 30 millions d’euros ou 6 % du chiffre d’affaires annuel mondial de l’année précédente. Pour la non-conformité dans les systèmes à haut risque, les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Pour les PME et les start-ups, le Règlement prévoit des réductions proportionnées mais n’élimine pas la responsabilité.

Premières étapes recommandées

Quelle que soit la taille de l’entreprise, la première étape est toujours l’inventaire et la classification par risque. À partir de là, les entreprises dont les systèmes relèvent des catégories à haut risque ou qui fournissent des modèles d’IA à usage général devraient commencer à adapter leur documentation technique, leurs processus de gouvernance et leurs contrats avec les fournisseurs et les clients dès que possible — en mettant à jour les clauses de responsabilité à la lumière du nouveau cadre réglementaire.

Chez BMC, nous conseillons sur l’adaptation au cadre réglementaire de l’IA, notamment la classification des systèmes, la documentation de conformité et la mise en œuvre de systèmes de gouvernance de l’IA appropriés aux obligations du Règlement (UE) 2024/1689. Découvrez nos services de conformité.

artificial-intelligence ai-act UE compliance
← Retour aux publications
Services associés

Services associés

Fusions & Acquisitions

Conseil en M&A de bout en bout pour maximiser la valeur dans chaque transaction que votre entreprise entreprend.

Évaluations d'entreprises

Évaluations d'entreprises rigoureuses utilisant des méthodologies reconnues pour les transactions, les litiges et la conformité réglementaire.

ESG & Durabilité

Stratégie ESG et intégration pour les entreprises souhaitant se positionner en leaders de la durabilité et se conformer à la réglementation européenne.

Articles associés

Stratégie

Élections européennes 2024 : Impact sur l'agenda des entreprises

Élections au Parlement européen de juin 2024 : virage vers la droite (gains du PPE, pertes des Verts), paquet Omnibus reportant la CSRD et la CS3D pour les PME, et pourquoi les projets de conformité ESG doivent se poursuivre malgré l'incertitude réglementaire.

22 juillet 2024 · 6 min de lecture
Stratégie

Rapport stratégique annuel 2025 : Golden Visa aboli, AI Act en vigueur et ZEC comme opportunité différentielle

Analyse stratégique 2025 : abolition du Golden Visa espagnol, obligations de l'AI Act en vigueur, opportunité ZEC jusqu'en décembre 2026 et reconfiguration des fusions-acquisitions dans le nouvel environnement réglementaire.

19 janvier 2026 · 5 min de lecture
Stratégie

Budget de l'Espagne 2026 : Analyse d'impact

Situation budgétaire de l'Espagne en 2026 : fonctionnement sur la base du budget prorogé de 2022 pour la huitième année consécutive, implications pour la commande publique, la certitude fiscale, et pourquoi les entreprises ne doivent pas différer leur planification fiscale de fin d'année.

20 octobre 2025 · 6 min de lecture

Vous souhaitez en savoir plus ?

Discutons de la façon dont ces idées peuvent être appliquées à votre entreprise.

Voir le service : Fusions & Acquisitions
Appeler Contact