Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil, du 13 juin 2024, établissant des règles harmonisées en matière d'intelligence artificielle — l'AI Act — a été publié au Journal officiel de l'Union européenne le 12 août 2024 (L 2024/1689). Il constitue le premier cadre réglementaire complet au monde en matière d'intelligence artificielle et résulte de plus de trois années de négociations législatives depuis la publication de la proposition de la Commission européenne le 21 avril 2021.
Pourquoi l’AI Act constitue un tournant réglementaire
L’AI Act adopte une approche radicalement différente de la plupart des réglementations technologiques antérieures : plutôt que de réglementer la technologie elle-même, il réglemente le risque que les systèmes d’IA génèrent en fonction de leur utilisation. Cette approche fondée sur le risque signifie que le niveau d’obligations ne dépend pas de la nature technique du système — apprentissage automatique, vision par ordinateur ou traitement du langage naturel — mais du contexte et de la finalité dans lesquels il est utilisé.
L’autre caractéristique déterminante de l’AI Act est son application extraterritoriale : le Règlement s’applique aux fournisseurs établis dans l’UE ainsi qu’à ceux établis en dehors de l’UE lorsque leurs systèmes d’IA sont mis sur le marché dans l’UE, lorsque leurs systèmes sont utilisés dans l’UE, ou lorsque les résultats de leurs systèmes sont utilisés dans l’UE. Par conséquent, les entreprises technologiques américaines, asiatiques et autres opérant sur le marché européen sont soumises à l’AI Act dans les mêmes conditions que les entreprises européennes.
Structure et architecture du Règlement
L’AI Act comprend 113 articles et 13 annexes, organisés en douze chapitres. Sa structure reflète l’architecture du système de classification des risques :
Chapitre I : Dispositions générales, définitions et champ d’application.
Chapitre II (Article 5) : Pratiques d’IA interdites. Établit la liste des utilisations de l’IA qui ne peuvent être réalisées dans l’UE en aucune circonstance.
Chapitres III et IV : Systèmes à haut risque. Le Chapitre III établit les obligations des fournisseurs et des opérateurs de systèmes à haut risque ; le Chapitre IV réglemente les systèmes à haut risque qui sont des composants de produits couverts par la législation d’harmonisation de l’UE (dispositifs médicaux, machines, aéronefs, etc.).
Chapitre V : Modèles d’IA à usage général (GPAI). Réglemente les modèles de fondation tels que GPT-4, Gemini, Claude et Llama, avec des obligations différenciées pour les modèles GPAI standard et ceux présentant des risques systémiques.
Chapitre VII : Gouvernance. Établit la structure de supervision : le Bureau de l’IA (AI Office) de la Commission européenne et les autorités nationales de supervision de l’IA.
Chapitre XII (Article 99) : Sanctions.
L’Agence espagnole de supervision de l’IA (AESIA)
L’Espagne a été le premier État membre à créer une autorité de supervision spécifique en matière d’IA : l’Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), créée par le Décret royal 729/2023 du 22 août, dont le siège est établi à La Corogne. L’AESIA agit en qualité d’autorité nationale compétente pour l’application de l’AI Act en Espagne et constitue le point de contact avec le Bureau de l’IA de la Commission européenne.
L’AESIA dispose de pouvoirs d’enquête en cas de manquements potentiels à l’AI Act, d’imposition de sanctions administratives, d’enregistrement des systèmes d’IA à haut risque développés ou commercialisés en Espagne, et de participation aux mécanismes de coopération du Comité européen de l’intelligence artificielle.
Modèles d’IA à usage général (GPAI) : obligations à compter d’août 2025
Le Chapitre V de l’AI Act introduit un régime spécifique pour les fournisseurs de modèles d’IA à usage général, applicable à compter du 2 août 2025. Les modèles GPAI sont des systèmes d’IA entraînés sur de grands volumes de données capables d’exécuter une grande variété de tâches (génération de texte, d’images, de code, d’audio, raisonnement) et qui sont intégrés dans des systèmes d’IA tiers.
Tous les fournisseurs de modèles GPAI doivent : (i) préparer et tenir à jour une documentation technique ; (ii) fournir aux fournisseurs de systèmes d’IA intégrant leur modèle les informations et la documentation technique nécessaires pour que ces fournisseurs puissent remplir leurs propres obligations ; (iii) mettre en œuvre une politique de respect de la législation relative au droit d’auteur ; et (iv) publier un résumé suffisamment détaillé du contenu d’entraînement utilisé.
Les fournisseurs de modèles GPAI présentant des risques systémiques — définis comme des modèles entraînés avec une puissance de calcul dépassant 10^25 opérations en virgule flottante — ont des obligations supplémentaires : évaluation du modèle, évaluation et atténuation des risques systémiques, signalement des incidents graves à la Commission, et mesures de cybersécurité.
Feuille de route de conformité pour les entreprises utilisant l’IA
Pour les entreprises utilisant des systèmes d’IA — la grande majorité des entreprises opérant en Espagne — le processus de conformité à l’AI Act débute par trois étapes fondamentales :
(1) Inventaire des systèmes d’IA en usage, couvrant aussi bien les systèmes développés en interne que ceux acquis auprès de tiers. Cet inventaire doit inclure les outils RH dotés de fonctionnalités d’IA, les systèmes CRM avec notation automatisée, les chatbots de service client, la détection de fraude et toute autre fonctionnalité alimentée par l’IA.
(2) Classification de chaque système selon le cadre de risque de l’AI Act : interdit, à haut risque (Annexe III), à risque limité ou à risque minimal.
(3) Évaluation des obligations applicables en fonction du rôle de l’entreprise (fournisseur, importateur, distributeur ou opérateur) par rapport à chaque système, et élaboration d’un plan de conformité avec des échéances définies.
Pour les entreprises utilisant des outils tiers — logiciels RH dotés de fonctionnalités d’IA, notation CRM automatisée, chatbots de service client, systèmes de détection de fraude — l’étape cruciale consiste à vérifier que le fournisseur du logiciel remplira ses obligations en tant que fournisseur au titre de l’AI Act et transmettra les informations nécessaires à l’opérateur (l’entreprise utilisatrice) afin que ce dernier puisse remplir ses obligations en matière d’utilisation supervisée.
Les actions de conformité les plus urgentes avant le 2 août 2026 sont les suivantes : réaliser l’inventaire de l’IA, classifier l’ensemble des systèmes à haut risque, mettre à jour les analyses d’impact relatives à la protection des données (AIPD) pour intégrer les risques spécifiques à l’IA, et établir des procédures de supervision humaine pour tout système à haut risque déjà en exploitation.
Chez BMC, notre équipe juridique peut vous accompagner dans l’élaboration d’un programme de conformité pratique à l’AI Act, de l’inventaire initial à la documentation et aux procédures de supervision. Découvrez nos services de conformité à l’AI Act.
