Comment se mettre en conformité avec le règlement IA de l’Union européenne ?

L'intelligence artificielle est déjà présente dans de nombreux outils et processus professionnels. Avec l'entrée en application de nouvelles règles européennes, la question de la conformité au règlement IA de l'UE se pose désormais de façon très concrète pour les organisations qui développent, intègrent ou utilisent ces systèmes.

 

Le texte ne pose pas une règle unique pour tous les usages. Il distingue les pratiques interdites, les systèmes soumis à des obligations renforcées et ceux pour lesquels des exigences de transparence s'appliquent. Le niveau de contrainte dépend à la fois des risques pour les personnes et du rôle occupé dans la chaîne de valeur.

 

Se mettre en conformité suppose donc de partir des usages réels. Quels outils sont utilisés ? Dans quels contextes ? Avec quels effets possibles ? Cette page propose une lecture claire des points à maîtriser et du calendrier à connaître, pour avancer sans transformer la conformité en exercice théorique.

 

Champ d'application du règlement IA

Le règlement (UE) 2024/1689, dit IA Act, s'applique aux systèmes d'intelligence artificielle mis sur le marché, mis en service ou utilisés dans l'Union européenne. Il vise les organisations qui conçoivent, fournissent ou utilisent des systèmes d'IA, y compris lorsque ces systèmes sont développés hors de l'Union mais que leurs résultats sont utilisés sur le territoire européen.

 

 

L'application du règlement dépend avant tout du rôle occupé par l'entreprise dans la chaîne de valeur. Selon les situations, une organisation peut être qualifiée de :

• fournisseur, lorsqu'elle met un système d'IA sur le marché ou le met en service sous son nom ou sa marque ;
• déployeur, lorsqu'elle utilise un système d'IA sous sa propre autorité dans le cadre de ses activités ;
• importateur ou distributeur, lorsqu'elle intervient dans la mise à disposition d'un système d'IA sur le marché européen.

 

Ces qualifications ne sont pas exclusives et peuvent se cumuler, notamment lorsque des solutions sont adaptées, intégrées ou modifiées au sein d'outils existants.

 

Le règlement distingue par ailleurs les usages de l'IA en fonction des risques qu'ils présentent pour les personnes et les droits fondamentaux. Cette approche conditionne la nature et le niveau des obligations applicables, dont l'entrée en vigueur est organisée de manière progressive, conformément au calendrier fixé à l'article 113.

 

Identifier les usages d'IA au sein de l'organisation

La cartographie des usages d'IA permet de passer d'un cadre général à une analyse concrète des pratiques de l'entreprise. Elle consiste à recenser les systèmes effectivement utilisés, indépendamment de leur mode de fourniture ou de leur niveau de sophistication.

 

Pourquoi recenser les systèmes d'IA utilisés

Un inventaire interne permet de structurer la démarche sans la complexifier. Il sert à regrouper, en un point unique, les informations utiles sur les systèmes d'IA utilisés par l'organisation, afin de disposer d'une base claire pour la suite de l'analyse.

 

Cet inventaire n'a pas vocation à être exhaustif dès le départ. Il s'agit un support évolutif, qui peut être enrichi au fur et à mesure de l'avancement de la mise en conformité.

 

Avec quels outils

Dans la pratique, des outils simples sont suffisants :

• un tableur, partagé entre les équipes concernées ;
• un registre existant, comme celui des traitements RGPD ou un référentiel sécurité, complété pour intégrer les usages d'IA ;
• un outil interne déjà utilisé pour le suivi des projets ou des risques.

 

Le but est que l'inventaire soit facilement accessible et régulièrement mis à jour.

 

Quelles informations renseigner

Pour chaque système ou usage d'IA identifié, l'inventaire peut notamment préciser :

• l'outil ou le système concerné ;
• la finalité de l'usage ;
• les équipes ou métiers utilisateurs ;
• le mode de fourniture (outil interne, solution tierce, fonctionnalité intégrée) ;
• les données traitées, en particulier lorsqu'il s'agit de données personnelles ;
• le rôle de l'entreprise au regard du Règlement (UE) 2024/1689 ;
• l'existence d'un dispositif de supervision humaine.

 

Ces éléments suffisent, à ce stade, pour disposer d'une vision exploitable, sans entrer dans une qualification juridique détaillée.

 

Comment procéder

La construction de l'inventaire repose généralement sur un travail transversal, associant les équipes techniques, les métiers utilisateurs et les fonctions juridiques ou conformité. Elle doit inclure aussi bien les outils développés en interne que les fonctionnalités d'IA intégrées à des solutions tierces.

 

Une fois en place, cet inventaire sert de point d'appui pour organiser la suite de la démarche et préparer les échéances prévues entre 2025 et 2027, sans anticiper prématurément des obligations qui seront précisées plus loin.

 

Connaître les niveaux de risque du règlement IA

Le règlement IA repose sur une logique simple : tous les usages de l'intelligence artificielle ne présentent pas le même niveau de risque. En fonction des impacts possibles sur les personnes, le texte distingue plusieurs régimes, auxquels correspondent des obligations différentes.

 

Risque inacceptable : pratiques interdites (article 5)

Certaines pratiques sont interdites. Le règlement considère que leurs effets sont incompatibles avec les droits fondamentaux.

 

Sont notamment visés :

• les techniques manipulatrices ou exploitant des situations de vulnérabilité ;
• les systèmes de notation sociale ;
• certaines formes de catégorisation biométrique ou de reconnaissance des émotions, en particulier dans le cadre du travail ou de l'éducation ;
• la constitution ou l'extension de bases de données de reconnaissance faciale par captation non ciblée d'images faciales, en particulier depuis internet ou la vidéosurveillance ;
• l'identification biométrique à distance en temps réel dans les espaces accessibles au public à des fins de maintien de l'ordre, sauf dérogations strictement encadrées.

 

Risque élevé : systèmes d'IA à haut risque (chapitre III)

Les systèmes d'IA dits « à haut risque » restent autorisés, mais sous conditions.

 

Deux situations sont concernées :

• les usages relevant des domaines listés à l'annexe III, comme le recrutement, l'évaluation des travailleurs, l'accès au crédit, l'éducation ou certains services essentiels ;
• les systèmes d'IA intégrés à des produits déjà encadrés par une législation européenne, lorsqu'ils jouent un rôle dans la sécurité ou la conformité du produit.

 

Le chapitre III concentre la majorité des obligations du règlement. Il encadre la conception, la mise sur le marché et l'utilisation de ces systèmes.

 

Dans certains cas, un usage relevant de l'annexe III peut toutefois être exclu du haut risque, à condition de démontrer l'absence de risque significatif pour les personnes.

 

Risque limité : obligations de transparence (article 50)

Certains systèmes ne sont ni interdits ni qualifiés de haut risque, mais impliquent une obligation d'information.

 

C'est le cas, par exemple :

• des systèmes qui interagissent directement avec des personnes, comme les agents conversationnels ;
• des contenus générés ou modifiés artificiellement, notamment les deepfakes.

 

L'IA reste autorisée, mais les personnes concernées doivent être informées de la nature automatisée du système ou du contenu.

 

Risque minimal : usages non spécifiquement encadrés

Beaucoup d'usages de l'IA ne relèvent d'aucun de ces régimes particuliers.

 

Dans ces cas, le règlement IA n'impose pas d'obligations spécifiques. Cela ne signifie pas pour autant une absence de cadre. Ces usages restent soumis au droit existant, notamment en matière de protection des données, de droit du travail, de non-discrimination et de protection des consommateurs.

 

La qualification dépend toujours de l'usage concret. Elle peut évoluer si le contexte change.

 

 

Appliquer les obligations prévues pour assurer la conformité au règlement IA de l'UE

Une fois les systèmes d'IA qualifiés, la conformité repose sur la prise en compte des obligations prévues par le règlement, en particulier lorsque des systèmes d'IA à haut risque sont concernés. Ces exigences visent à encadrer l'ensemble du cycle de vie du système, depuis sa conception jusqu'à son utilisation en conditions réelles, selon le rôle occupé par les différents acteurs.

 

Exigences applicables aux systèmes d'IA à haut risque

Les systèmes d'IA qualifiés de « haut risque » sont soumis à un ensemble d'exigences destinées à prévenir les atteintes à la santé, à la sécurité et aux droits fondamentaux.

 

Elles portent notamment sur :

• la gestion des risques, à travers l'identification, l'évaluation et la réduction des risques liés au système tout au long de son cycle de vie ;
• la gouvernance et la qualité des données, afin de limiter les biais, les erreurs et les usages non maîtrisés ;
• la documentation et la traçabilité, permettant de démontrer la conformité du système et de faciliter les contrôles ;
• la supervision humaine, afin que le système reste sous contrôle et que ses résultats puissent être compris et, le cas échéant, corrigés ;
• la sécurité, la robustesse et le suivi post-déploiement, incluant la surveillance des performances et la gestion des incidents.

 

Ces exigences sont le socle du régime applicable aux systèmes d'IA à haut risque prévu par le Règlement (UE) 2024/1689.

 

Réaliser l'analyse d'impact sur les droits fondamentaux (FRIA – article 27)

Dans certains cas précisément définis par le règlement, la conformité implique la réalisation d'une analyse d'impact sur les droits fondamentaux (Fundamental Rights Impact Assessment – FRIA).

 

Cette analyse est requise avant le déploiement de certains systèmes d'IA à haut risque, notamment lorsque ceux-ci sont utilisés par des organismes publics ou par des entités privées assurant un service public, et dans les situations expressément prévues par le règlement.

 

La FRIA s'inscrit dans une logique de cohérence avec les autres analyses réglementaires existantes. Elle peut être articulée avec des dispositifs déjà en place, tels que les analyses d'impact relatives à la protection des données, afin d'éviter les doublons tout en couvrant spécifiquement les risques liés aux droits fondamentaux.

 

Encadrer les relations avec les fournisseurs et partenaires

La conformité au Règlement (UE) 2024/1689 ne repose pas uniquement sur les usages internes. Elle dépend également de la place occupée par l'entreprise dans la chaîne de valeur de l'IA, en particulier lorsque des systèmes, des modèles ou des composants sont fournis par des tiers.

 

Vérifier son rôle dans la chaîne de valeur de l'IA

Avant d'aborder les obligations applicables, il est nécessaire d'identifier le rôle occupé par l'entreprise au regard du règlement. Selon les situations, une même organisation peut intervenir en tant que fournisseur, déployeur, importateur ou distributeur.

 

Ce positionnement conditionne directement :

• la nature des obligations applicables ;
• le niveau de responsabilité en cas de non-conformité ;
• les relations à organiser avec les autres acteurs impliqués.

 

Une analyse imprécise du rôle occupé peut conduire à des obligations mal identifiées ou à des lacunes dans la démonstration de conformité.

 

Organiser l'accès aux informations nécessaires à la conformité

Dans certains cas, la conformité au règlement suppose que les acteurs de la chaîne de valeur puissent disposer des informations et des moyens nécessaires pour respecter leurs obligations respectives.

 

Cela concerne :

• l'accès à la documentation utile sur le fonctionnement et les limites du système ;
• la transmission d'informations relatives aux risques identifiés ;
• l'assistance nécessaire pour permettre une utilisation conforme du système.

 

Ces éléments sont particulièrement importants lorsque des composants, des modèles ou des services fournis par des tiers sont intégrés dans un système d'IA. Ils contribuent à sécuriser la conformité sur l'ensemble de la chaîne de valeur, sans transférer indûment la responsabilité d'un acteur à un autre.

 

Compétences humaines et supervision des systèmes d'IA

Le règlement IA place explicitement le facteur humain au cœur du dispositif de conformité, en prévoyant des obligations transversales liées aux compétences et à la supervision des systèmes d'IA.

 

Mettre en œuvre le plan d'alphabétisation en IA (article 4)

L'article 4 du Règlement (UE) 2024/1689 demande aux fournisseurs et aux déployeurs de prendre des mesures appropriées afin de garantir que les personnes intervenant sur des systèmes d'IA disposent d'un niveau suffisant de maîtrise de l'IA (AI Literacy).

 

Cette obligation ne vise pas une formation uniforme pour tous. Le niveau de connaissances attendu doit être adapté au rôle exercé, à la nature des systèmes utilisés et aux risques associés. Les exigences diffèrent ainsi selon qu'il s'agit de concepteurs, d'utilisateurs opérationnels, de managers ou de fonctions de contrôle.

 

 

Exigences spécifiques liées à la supervision humaine

Au-delà de l'alphabétisation générale en IA, le règlement prévoit des exigences particulières en matière de supervision humaine, en particulier pour les systèmes d'IA à haut risque.

 

Les personnes chargées du contrôle doivent notamment :

• disposer des compétences nécessaires pour comprendre le fonctionnement et les limites du système ;
• être en mesure d'intervenir efficacement en cas de dysfonctionnement ou de résultat inapproprié ;
• disposer d'une autorité suffisante pour ajuster, suspendre ou encadrer l'utilisation du système si nécessaire.

 

Ces exigences traduisent l'importance accordée par le règlement à une supervision humaine adaptée, en particulier lorsque les systèmes d'IA présentent des risques significatifs pour les personnes.

 

Documenter la conformité et anticiper les contrôles du règlement IA

La conformité au Règlement (UE) 2024/1689 ne se limite pas à la mise en place de mesures internes. Elle suppose également de pouvoir démontrer, dans la durée, que les obligations applicables ont bien été respectées. La documentation joue ici un rôle central.

 

Documentation et traçabilité attendues

Le règlement prévoit la constitution et la tenue à jour d'un ensemble de documents permettant de retracer les choix effectués, les analyses menées et les mesures mises en œuvre.

 

Cette documentation doit permettre :

• d'identifier les systèmes d'IA utilisés et leur qualification au regard du règlement ;
• de justifier les évaluations de risques réalisées ;
• de démontrer la mise en œuvre des obligations applicables, en particulier pour les systèmes d'IA à haut risque ;
• d'assurer un suivi dans le temps, en tenant compte de l'évolution des systèmes et de leurs usages.

 

 

Conformité au règlement IA de l'UE : calendrier d'application et dates clés

Le règlement IA prévoit une mise en application progressive, avec plusieurs échéances distinctes selon la nature des obligations concernées.

 

 

Le règlement prévoit par ailleurs des dispositions transitoires pour certains systèmes déjà mis sur le marché ou en service avant ces dates, ainsi que des échéances spécifiques selon les catégories d'acteurs concernés.

 

Contrôles et régime de sanctions prévus par le règlement IA

Le Règlement (UE) 2024/1689 prévoit un régime de sanctions administratives dont les plafonds sont fixés au niveau européen, détaillés aux articles 99 à 101. Les montants varient selon la nature du manquement et le rôle de l'acteur concerné.

 

Trois niveaux principaux d'amendes sont prévus :

• Non-respect des pratiques d'IA interdites (article 5) : amende pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
• Manquement aux obligations prévues par le règlement : cela concerne notamment les obligations des fournisseurs, déployeurs, importateurs ou distributeurs, ainsi que les obligations de transparence. Amende maximale de 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial.
• Fourniture d'informations inexactes, incomplètes ou trompeuses aux autorités compétente : amende pouvant aller jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial.

 

 

Appréciation des sanctions et logique de contrôle

Le règlement ne prévoit pas de sanctions automatiques. Les autorités compétentes apprécient les manquements au cas par cas, en fonction :

• de la nature, de la gravité et de la durée du manquement ;
• des conséquences pour les personnes concernées ;
• du caractère intentionnel ou non ;
• des mesures techniques et organisationnelles mises en place ;
• du degré de coopération avec les autorités.

 

Les sanctions doivent être proportionnées, en tenant compte notamment de la taille de l'entreprise et de sa situation économique.

 

Se former à la conformité au règlement IA de l'UE avec oùFormer

Pour les organisations qui souhaitent aller plus loin, oùFormer référence des formations dédiées à la conformité au règlement IA de l'UE.

 

Grâce à elles, vous pourrez :

• comprendre le cadre réglementaire et les implications concrètes de l'AI Act pour votre entreprise ;
• identifier les usages concernés et les niveaux de risque associés ;
• structurer une démarche de mise en conformité adaptée aux pratiques et aux contraintes internes.

 

Les sessions sont proposées en visioconférence ou en présentiel, avec des dates régulières tout au long de l'année. Elles s'adressent aux décideurs, équipes juridiques, fonctions conformité, IT ou métiers impliqués dans l'utilisation de systèmes d'IA.