IA Act (Règlement européen sur l'IA)

L’IA Act (Règlement européen sur l’intelligence artificielle) est le règlement (UE) 2024/1689 adopté le 13 juin 2024, premier cadre juridique mondial transversal sur l’IA. Il est directement applicable dans tous les États membres, par phases successives entre 2025 et 2027.

Approche par les risques

Le règlement classe les systèmes d’IA en 4 catégories :

1. Risque inacceptable : interdits

• Systèmes de notation sociale par une autorité publique
• Manipulation subliminale exploitant les vulnérabilités
• Identification biométrique en temps réel dans l’espace public (sauf exceptions sécurité)
• Reconnaissance émotionnelle au travail ou en éducation
• Systèmes déduisant la sensibilité, l’origine ethnique, l’orientation sexuelle…

2. Risque élevé : obligations strictes

• Systèmes utilisés dans : éducation, emploi, services publics essentiels, maintien de l’ordre, migration, justice, infrastructures critiques
• Obligations : évaluation de conformité, qualité des données, documentation, traçabilité, transparence, supervision humaine, robustesse

3. Risque limité : obligations de transparence

• Chatbots : informer l’utilisateur qu’il parle à une IA
• Deepfakes : signaler explicitement le contenu généré ou modifié par IA
• Reconnaissance d’émotions dans certains contextes

4. Risque minimal : pas d’obligation

La majorité des systèmes (filtres anti-spam, recommandations, jeux vidéo).

Modèles de fondation (GPAI)

Catégorie spécifique pour les modèles d’IA à usage général (LLMs, modèles multimodaux) :

• Tous les GPAI : transparence sur les données d’entraînement, respect du copyright
• GPAI avec risque systémique (au-delà de 10²⁵ FLOPs d’entraînement) : obligations renforcées (red-teaming, sécurité, signalement incidents)

Calendrier d’application

Date	Obligations applicables
Août 2024	Entrée en vigueur
Février 2025	Interdictions (notation sociale, manipulation…)
Août 2025	GPAI : obligations de base, gouvernance
Août 2026	Systèmes à risque élevé (éducation, emploi, etc.)
Août 2027	Tous les autres (risque élevé annexes)

Sanctions

Échelle proportionnée à la gravité :

• 35 M€ ou 7 % CA mondial : pour les pratiques interdites
• 15 M€ ou 3 % CA mondial : autres infractions importantes
• 7,5 M€ ou 1,5 % : informations incorrectes

Ces sanctions sont plus sévères que celles du RGPD pour les manquements graves.

Mise en œuvre française

Autorité(s) compétente(s)

Pas encore complètement déterminé en France. Trois pistes :

• CNIL pour la dimension données personnelles (RGPD)
• ARCOM pour la dimension contenus (deepfakes, désinformation)
• DGCCRF pour la dimension consommation

Hypothèse : un partage de compétences entre plusieurs régulateurs, coordonné.

Bureau européen de l’IA

Créé au sein de la Commission européenne, chargé de la mise en œuvre uniforme dans tous les États membres. Coopération entre régulateurs nationaux.

Articulation avec d’autres textes

• RGPD : si les données traitées sont personnelles, le RGPD s’applique en plus
• DSA / DMA : régulation des plateformes et de la concurrence
• Cybersécurité (NIS 2, CRA)
• Droit de la consommation

Enjeux pour les organisations

Acteurs technologiques

Mise en conformité lourde sur les GPAI et les systèmes à risque élevé. Question de la compatibilité avec les modèles open source.

Utilisateurs (entreprises, administrations)

Identifier les systèmes d’IA utilisés dans leurs processus, vérifier leur conformité, mettre en place les obligations (information utilisateur, supervision humaine).

ONG et plaidoyer

Vigilance sur les pratiques interdites, mobilisation pour une application stricte. Travail sur les droits fondamentaux affectés par les systèmes à risque élevé (justice prédictive, IA en RH, etc.).

Pour aller plus loin

• Règlement européen : application directe
• RGPD : articulation avec l’IA Act
• Souveraineté technologique : enjeu IA