Qu'est-ce que l'AI Act, le règlement européen sur l'IA ?

L'AI Act (Artificial Intelligence Act) est le premier cadre réglementaire au monde dédié spécifiquement à l'intelligence artificielle. Adopté par le Parlement européen en mars 2024 et publié au Journal officiel de l'UE en juillet 2024, ce règlement établit des règles harmonisées pour le développement, la mise sur le marché et l'utilisation des systèmes d'IA dans l'Union européenne.

Une approche par les risques

Le principe structurant de l'AI Act est la classification des systèmes d'IA selon quatre niveaux de risque, chacun entraînant des obligations proportionnées :

Risque inacceptable — Ces systèmes sont purement et simplement interdits. Cela inclut le scoring social par les autorités publiques, la manipulation comportementale exploitant des vulnérabilités (âge, handicap), la reconnaissance faciale en temps réel dans l'espace public (sauf exceptions strictes liées à la sécurité) et la catégorisation biométrique basée sur des caractéristiques sensibles.

Risque élevé — Ces systèmes sont autorisés mais soumis à des obligations strictes : évaluation de conformité, documentation technique détaillée, système de gestion des risques, supervision humaine, marquage CE et enregistrement dans une base de données européenne. Sont concernés les systèmes utilisés en recrutement, éducation, justice, santé, crédit scoring ou gestion des infrastructures critiques.

Risque limité — Les systèmes comme les chatbots ou les générateurs de contenu par IA générative doivent respecter des obligations de transparence : informer l'utilisateur qu'il interagit avec une IA et signaler les contenus générés artificiellement (deepfakes notamment).

Risque minimal — La grande majorité des systèmes d'IA (filtres anti-spam, jeux vidéo, systèmes de recommandation) peuvent être utilisés librement, sans obligation réglementaire spécifique.

Obligations spécifiques pour les modèles de fondation

L'AI Act introduit des règles dédiées aux modèles d'IA à usage général (GPAI), comme les LLM. Tous les fournisseurs de GPAI doivent fournir une documentation technique et respecter le droit d'auteur. Les modèles présentant un "risque systémique" (seuil fixé à 10^25 FLOPS d'entraînement) ont des obligations renforcées : tests adverses, évaluation des risques systémiques, signalement d'incidents et mesures de cybersécurité.

Calendrier d'application

L'entrée en vigueur est progressive :

• Février 2025 : interdiction des pratiques à risque inacceptable
• Août 2025 : règles sur les modèles GPAI et création des autorités de supervision
• Août 2026 : application complète pour les systèmes à haut risque
• Août 2027 : application aux systèmes d'IA intégrés dans des produits réglementés

Sanctions

Les amendes sont calibrées pour être dissuasives : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les violations les plus graves (pratiques interdites), 15 millions ou 3 % pour les obligations sur les GPAI, et 7,5 millions ou 1 % pour les informations fausses fournies aux autorités.

Impact pour les entreprises

Toute organisation qui développe, déploie ou distribue un système d'IA sur le marché européen est concernée, quel que soit son lieu d'établissement — une portée extraterritoriale directement inspirée du RGPD. En pratique, les entreprises doivent cartographier leurs systèmes d'IA existants, évaluer leur niveau de risque et mettre en place une gouvernance IA adaptée. Cette démarche rejoint les enjeux plus larges d'IA responsable et de data governance, en plaçant la transparence et la maîtrise des risques au centre de la stratégie IA.