Réglementation de l'IA en Europe : le règlement IA

·

Le règlement (UE) 2024/1689, connu sous le nom de loi sur l'intelligence artificielle ou AI Act, est le premier cadre juridique horizontal au monde à réglementer l'intelligence artificielle. Il a été publié au Journal officiel de l'Union européenne le 12 juillet 2024 et est entré en vigueur le 1er août 2024, avec une application échelonnée qui s'achève en août 2027. Pour toute organisation qui développe, commercialise ou utilise des systèmes d'IA sur le marché unique européen, ne plus comprendre cette norme est passé du statut de recommandation à celui d'obligation légale, assortie de sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.

Contrairement au RGPD, qui réglemente les données personnelles, l'AI Act réglemente des produits et des usages : il classe les systèmes d'IA selon le risque qu'ils génèrent pour la santé, la sécurité et les droits fondamentaux. Cette approche fondée sur le risque constitue la colonne vertébrale de toute la norme et détermine quelles obligations pèsent sur chaque fournisseur et chaque utilisateur professionnel (ce que le règlement appelle deployer ou responsable du déploiement).

L'approche fondée sur le risque : quatre niveaux

Le règlement IA définit quatre catégories de risque, chacune assortie d'un régime juridique distinct. Comprendre dans quel niveau se situe un système est la première étape de toute analyse de conformité.

Obligations pour les systèmes à haut risque

Si un système relève de la catégorie à haut risque, le fournisseur doit satisfaire aux exigences des articles 8 à 15 avant de mettre le produit sur le marché. Dans la pratique, cela se traduit par un ensemble de mesures techniques et documentaires concrètes :

Avant la commercialisation, le fournisseur doit réaliser une évaluation de la conformité, rédiger la déclaration UE de conformité, apposer le marquage CE et enregistrer le système dans la base de données publique de l'UE. La norme harmonisée qui servira de référence technique est l'ISO/IEC 42001, première norme internationale relative aux systèmes de management de l'IA, qui offre un cadre auditable très aligné sur les exigences du règlement.

Modèles d'IA à usage général (GPAI)

Le chapitre V introduit des obligations spécifiques pour les modèles de fondation ou à usage général, applicables depuis le 2 août 2025. Tout fournisseur d'un modèle GPAI doit élaborer une documentation technique, une politique de respect du droit d'auteur et un résumé suffisamment détaillé des contenus utilisés lors de l'entraînement. Les modèles qui dépassent le seuil de 10²⁵ opérations en virgule flottante (FLOP) de calcul d'entraînement sont considérés comme présentant un risque systémique et cumulent des obligations renforcées : évaluation des modèles, tests adverses (red teaming), notification des incidents graves et protection de la cybersécurité des poids du modèle.

La Commission européenne a impulsé un code de bonnes pratiques pour l'IA à usage général qui permet aux fournisseurs de démontrer le respect de ces obligations pendant que sont finalisées les normes harmonisées. Adhérer à ce code n'est pas obligatoire, mais il offre une sécurité juridique et réduit la charge de la preuve devant l'autorité de surveillance, qui, dans le cas des modèles GPAI, incombe au Bureau européen de l'IA et non aux autorités nationales.

Relation avec le RGPD : deux cadres qui se cumulent

Un malentendu fréquent consiste à penser que l'AI Act remplace ou assouplit le RGPD. C'est tout l'inverse : les deux s'appliquent de manière cumulative. Si un système d'IA traite des données personnelles (ce qui est presque inévitable en biométrie, en recrutement ou en octroi de crédit), il doit respecter simultanément les obligations du règlement (UE) 2024/1689 et celles du RGPD, y compris la base de licéité du traitement, l'analyse d'impact relative à la protection des données (AIPD) et les droits des personnes concernées. En Espagne, cela oblige à coordonner la conformité entre la logique de produit de l'AI Act et la logique de données personnelles que supervise l'AEPD, en évitant de traiter les deux cadres comme des compartiments étanches.

Le calendrier d'application en Espagne

Le règlement est directement applicable dans tous les États membres, mais son déploiement est progressif. Voici les dates que toute organisation doit avoir inscrites à son calendrier :

DateÉtape
2 févr. 2025Pratiques interdites et obligations de maîtrise de l'IA (art. 4)
2 août 2025Obligations des modèles GPAI et régime de gouvernance et de sanctions
2 août 2026Application générale du règlement, y compris l'annexe III sur le haut risque
2 août 2027Systèmes à haut risque intégrés dans des produits réglementés (annexe I)

L'Espagne a été pionnière en créant l'Agence espagnole de supervision de l'intelligence artificielle (AESIA), dont le siège est à La Corogne, désignée comme autorité nationale de surveillance du marché. L'AESIA coordonne son action avec l'Agence espagnole de protection des données (AEPD) lorsque le système traite des données personnelles, car l'AI Act ne remplace pas le RGPD, mais s'applique de façon complémentaire.

Étapes pour préparer la conformité

Une feuille de route réaliste pour une entreprise espagnole qui utilise l'IA devrait suivre cette séquence :

  1. Inventaire. Recenser tous les systèmes d'IA en usage ou en développement, qu'ils soient internes ou fournis par des tiers.
  2. Classification du risque. Affecter chaque système à l'un des quatre niveaux et documenter le raisonnement.
  3. Analyse des écarts (gap analysis). Comparer l'état actuel avec les exigences du règlement pour les systèmes à haut risque.
  4. Mise en place des contrôles. Gestion des risques, gouvernance des données, surveillance humaine et journalisation, idéalement sous l'égide de l'ISO/IEC 42001.
  5. Formation. Satisfaire à l'obligation de maîtrise de l'IA prévue à l'article 4 pour le personnel concerné.
  6. Gouvernance continue. Désigner des responsables, mettre en place des revues périodiques et un canal de notification des incidents.

Erreurs courantes à éviter

La première consiste à supposer que la norme ne concerne que les grandes entreprises technologiques : le responsable du déploiement (l'entreprise qui utilise le système, même si elle ne l'a pas créé) a lui aussi des obligations. La deuxième est de confondre la conformité au RGPD avec celle de l'AI Act ; ce sont des cadres distincts et cumulatifs. La troisième est de sous-classer un système pour échapper à des obligations, une décision que l'AESIA peut réviser et sanctionner. La quatrième est de négliger la documentation : sans traçabilité ni journaux, démontrer la conformité lors d'une inspection s'avère impossible, même si le système est techniquement correct.

Foire aux questions

Le règlement IA s'applique-t-il aux entreprises situées hors de l'UE ? Oui. Comme le RGPD, il a une portée extraterritoriale : il concerne tout fournisseur ou responsable du déploiement dont les résultats sont utilisés au sein du marché unique, indépendamment de son lieu d'établissement.

Une PME qui n'utilise qu'un agent conversationnel commercial a-t-elle des obligations ? Si l'agent relève du risque limité, l'obligation principale est la transparence : informer l'utilisateur qu'il interagit avec un système automatisé. Elle n'a pas besoin d'une évaluation de la conformité, mais elle doit vérifier que le fournisseur respecte ses propres obligations.

L'ISO/IEC 42001 est-elle obligatoire ? Elle ne l'est pas en elle-même, mais se certifier apporte une présomption raisonnable de diligence et facilite la démonstration du respect des exigences du règlement, en particulier lorsque seront publiées les normes harmonisées qui la relieront formellement à l'AI Act.

Que se passe-t-il en cas de non-conformité dans les délais ? Les sanctions sont graduées selon l'infraction : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires pour les pratiques interdites, jusqu'à 15 millions ou 3 % pour le non-respect des obligations relatives au haut risque, et jusqu'à 7,5 millions ou 1 % pour la communication d'informations inexactes aux autorités.

Conclusion

Le règlement IA européen n'est pas une formalité que l'on règle en signant un document : c'est un changement de modèle qui oblige à classer chaque système, à documenter son fonctionnement et à démontrer un contrôle humain sur les décisions qui affectent les personnes. Les organisations qui commencent dès maintenant leur inventaire et leur analyse des écarts arriveront à août 2026 avec de la marge ; celles qui attendront le dernier trimestre se retrouveront à se disputer de rares ressources d'audit et de conformité. Chez Summum, nous accompagnons la classification du risque, le gap analysis au regard du règlement (UE) 2024/1689 et la mise en place d'un système de management aligné sur l'ISO/IEC 42001, de sorte que la conformité réglementaire cesse d'être une charge réactive et devienne une garantie vérifiable devant les clients et les autorités de contrôle.