Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil, du 13 juin 2024, établissant des règles harmonisées sur l'intelligence artificielle — le Règlement IA — a été publié au Journal officiel de l'Union européenne le 12 août 2024 (L 2024/1689). Il constitue le premier cadre réglementaire intégral mondial sur l'intelligence artificielle et le résultat de plus de trois ans de négociations législatives depuis la publication de la proposition par la Commission européenne le 21 avril 2021.
Pourquoi le Règlement IA constitue un tournant réglementaire
Le Règlement IA adopte une approche radicalement différente de la plupart des réglementations technologiques précédentes : plutôt que de réglementer la technologie elle-même, il réglemente le risque que les systèmes d’IA génèrent en fonction de leur utilisation. Cette approche basée sur le risque signifie que le niveau d’obligations dépend non pas du fait qu’un système utilise l’apprentissage automatique, la vision par ordinateur ou le traitement du langage naturel, mais du contexte et de l’objectif dans lequel il est utilisé.
L’autre caractéristique définissante du Règlement IA est son application extraterritoriale : le Règlement s’applique aux fournisseurs établis dans l’UE et à ceux établis en dehors de l’UE lorsque leurs systèmes d’IA sont mis sur le marché dans l’UE, utilisés dans l’UE, ou que les résultats de leurs systèmes sont utilisés dans l’UE.
Structure et architecture du Règlement
Le Règlement IA comprend 113 articles et 13 annexes, organisés en douze chapitres :
Chapitre I : Dispositions générales, définitions et périmètre.
Chapitre II (Article 5) : Pratiques d’IA interdites. Établit la liste des usages d’IA ne pouvant être réalisés dans l’UE en aucune circonstance.
Chapitres III et IV : Systèmes à haut risque. Le Chapitre III établit les obligations pour les fournisseurs et opérateurs de systèmes à haut risque ; le Chapitre IV réglemente les systèmes à haut risque composantes de produits couverts par la législation d’harmonisation de l’UE.
Chapitre V : Modèles d’IA à usage général (GPAI). Réglemente les modèles fondamentaux tels que GPT-4, Gemini, Claude et Llama, avec des obligations différenciées pour les modèles GPAI standard et ceux présentant des risques systémiques.
Chapitre VII : Gouvernance. Établit la structure de supervision : le Bureau IA de la Commission européenne et les autorités nationales de supervision de l’IA.
Chapitre XII (Article 99) : Sanctions.
L’Agence Espagnole de Supervision de l’IA (AESIA)
L’Espagne a été le premier État membre à créer une autorité spécifique de supervision de l’IA : l’Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), établie par le Décret Royal 729/2023 du 22 août, dont le siège est à La Corogne. L’AESIA agit comme autorité nationale compétente pour l’application du Règlement IA en Espagne et est le point de contact avec le Bureau IA de la Commission européenne.
L’AESIA dispose de pouvoirs pour enquêter sur les violations potentielles du Règlement IA, imposer des sanctions administratives, enregistrer les systèmes d’IA à haut risque développés ou commercialisés en Espagne, et participer aux mécanismes de coopération du Conseil Européen de l’IA.
Modèles d’IA à usage général (GPAI) : obligations à partir d’août 2025
Le Chapitre V du Règlement IA introduit un régime spécifique pour les fournisseurs de modèles d’IA à usage général, applicable à partir du 2 août 2025. Les modèles GPAI sont des systèmes d’IA entraînés sur de grands volumes de données pouvant réaliser une grande variété de tâches et intégrés dans des systèmes d’IA tiers.
Tous les fournisseurs de modèles GPAI doivent : (i) préparer et maintenir une documentation technique à jour ; (ii) fournir aux fournisseurs de systèmes d’IA intégrant leur modèle les informations et la documentation technique nécessaires ; (iii) mettre en œuvre une politique de respect de la législation sur le droit d’auteur ; et (iv) publier un résumé suffisamment détaillé du contenu d’entraînement utilisé.
Les fournisseurs de modèles GPAI présentant des risques systémiques — définis comme des modèles entraînés avec une puissance de calcul dépassant 10^25 opérations en virgule flottante — ont des obligations supplémentaires : évaluation des modèles, évaluation et atténuation des risques systémiques, signalement des incidents graves à la Commission, et mesures de cybersécurité.
Feuille de route de conformité pour les entreprises utilisant l’IA
Pour les entreprises utilisant des systèmes d’IA — la grande majorité des entreprises opérant en Espagne — le processus de conformité au Règlement IA commence par trois étapes de base :
(1) Inventaire des systèmes d’IA en utilisation, couvrant à la fois les systèmes développés en interne et ceux acquis auprès de tiers. Cet inventaire doit couvrir les outils RH avec des fonctionnalités IA, les CRM avec notation automatisée, les chatbots de service client, la détection de fraudes et toute autre fonctionnalité alimentée par l’IA.
(2) Classification de chaque système selon le cadre de risque du Règlement IA : interdit, haut risque (Annexe III), risque limité, ou risque minimal.
(3) Évaluation des obligations applicables selon le rôle de l’entreprise (fournisseur, importateur, distributeur ou opérateur) par rapport à chaque système, et préparation d’un plan de conformité avec des délais définis.
Les actions de conformité les plus urgentes avant le 2 août 2026 sont : réaliser l’inventaire IA, classifier tous les systèmes à haut risque, mettre à jour les Évaluations d’Impact sur la Protection des Données (EIPD) pour incorporer les risques spécifiques à l’IA, et établir des procédures de supervision humaine pour tout système à haut risque déjà en opération.
Chez BMC, notre équipe juridique peut vous aider à construire un programme de conformité au Règlement IA de l’inventaire initial à la documentation et aux procédures de supervision. En savoir plus sur nos services de conformité au Règlement IA.
Erreurs fréquentes dans la conformité au Règlement IA pour les entreprises espagnoles
Erreur 1 : Traiter l’inventaire IA comme un exercice ponctuel. Les obligations du Règlement IA s’attachent aux systèmes « mis sur le marché ou mis en service ». Sans processus de gouvernance continu pour l’intégration d’outils IA, les organisations accumuleront progressivement des déploiements non classifiés et potentiellement à haut risque qu’elles ne pourront pas documenter pour les autorités de réglementation.
Erreur 2 : Supposer que les obligations du Règlement IA incombent au développeur IA, non à l’utilisateur. Une entreprise espagnole qui utilise un outil de recrutement IA développé aux États-Unis pour filtrer les candidatures est un déployeur et a ses propres obligations : assurer la supervision humaine des décisions de recrutement assistées par IA, informer les candidats lorsque l’IA est utilisée dans une décision qui les affecte significativement, et conserver les journaux d’utilisation du système.
Erreur 3 : Ne pas mettre à jour les EIPD pour incorporer les risques IA. Les systèmes d’IA à haut risque impliquant des données personnelles nécessitent à la fois une EIPD au titre du RGPD et une évaluation de conformité au titre du Règlement IA. Les entreprises qui ont réalisé des EIPD pour leurs déploiements IA mais ne les ont pas mises à jour pour incorporer le cadre d’évaluation des risques du Règlement IA auront des lacunes documentaires qu’une autorité de supervision identifiera immédiatement.
