Conformité à la loi européenne sur l'IA : ce que les entreprises doivent savoir en 2026

La loi de l'UE sur l'intelligence artificielle (règlement (UE) 2024/1689) est entrée en vigueur le 1er août 2024. Il s'agit du premier règlement complet au monde sur l'IA, établissant un cadre basé sur les risques pour les systèmes d'IA déployés sur le marché de l'UE ou affectant celui-ci. Avec des obligations introduites progressivement jusqu'en 2027, 2026 est l'année critique pour la planification de la conformité des systèmes d'IA à haut risque : les fournisseurs et les déployeurs d'IA à haut risque doivent avoir mis en place des évaluations de conformité, une documentation technique et des cadres de gouvernance avant le 2 août 2026.

La loi européenne sur l’IA a une portée extraterritoriale comparable à celle du RGPD : tout système d’IA mis sur le marché de l’UE ou utilisé dans l’UE – quel que soit le lieu où est basé le fournisseur – entre dans son champ d’application. Pour les fournisseurs d’IA, les développeurs, les importateurs, les distributeurs et les déployeurs desservant les marchés de l’UE ou traitant des données de l’UE, la conformité n’est pas facultative.

Points clés à retenir

• La loi de l'UE sur l'IA établit quatre niveaux de risque : risque inacceptable (interdit), risque élevé, risque limité et risque minimal.
• Les systèmes d'IA interdits doivent être retirés du marché de l'UE d'ici le 2 février 2025
• Les systèmes d'IA à haut risque sont confrontés aux obligations les plus exigeantes : évaluation de la conformité, documentation technique, analyse d'impact sur les droits fondamentaux, surveillance post-commercialisation
• Les modèles d'IA à usage général (GPAI) (comme GPT-4, Claude, Gemini) sont confrontés à des obligations spécifiques ; Risque systémique Les modèles GPAI sont confrontés à des exigences accrues
• L'Office européen de l'IA (créé en mars 2024) supervise les obligations du modèle GPAI ; les autorités nationales de surveillance du marché supervisent l’IA à haut risque
• Amendes pour non-conformité : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les violations interdites de l'IA ; jusqu'à 15 millions d'euros ou 3 % pour les violations à haut risque de l'IA
• Des organismes notifiés pour l'évaluation de la conformité par des tiers sont en cours de désignation ; de nombreux systèmes à haut risque peuvent s'auto-évaluer
• Des codes de bonnes pratiques et des normes harmonisées sont en cours d'élaboration — surveiller l'AESA et les organismes concernés

---

Calendrier et mise en œuvre progressive de la loi européenne sur l'IA

Les obligations de l’AI Act s’échelonnent sur trois ans :

---

Cadre de classification des risques

L’AI Act classe les systèmes d’IA en quatre niveaux de risque :

Niveau 1 : Risque inacceptable (IA interdite)

L’article 5 interdit catégoriquement les systèmes d’IA suivants dans l’UE à partir du 2 février 2025 :

• Manipulation subliminale : systèmes d'IA déployant des techniques subliminales au-delà de la conscience ou des techniques trompeuses pour déformer matériellement le comportement d'une manière qui cause ou est raisonnablement susceptible de causer un préjudice important.
• Exploitation des vulnérabilités : IA qui exploite les vulnérabilités de groupes spécifiques (âge, handicap, situation sociale/économique) pour fausser matériellement les comportements
• Score social par les autorités publiques : systèmes d'IA utilisés par ou au nom des autorités publiques pour évaluer ou classer les individus en fonction d'un comportement social ou de caractéristiques personnelles conduisant à un traitement préjudiciable.
• Identification biométrique en temps réel dans les espaces publics : systèmes d'identification biométrique à distance en temps réel utilisés dans les espaces accessibles au public à des fins d'application de la loi (exceptions étroites pour le terrorisme, les crimes graves, les enfants disparus)
• Catégorisation biométrique basée sur des attributs protégés : IA qui catégorise les individus sur la base de la biométrie pour en déduire la race, l'origine ethnique, la religion, les opinions politiques, l'orientation sexuelle, l'appartenance syndicale.
• Reconnaissance des émotions sur le lieu de travail et dans l'éducation : systèmes d'IA qui déduisent les émotions sur le lieu de travail ou dans l'éducation (à quelques exceptions près)
• Prédiction de la criminalité basée sur le profilage : IA de police prédictive basée uniquement sur le profilage sans évaluation individuelle
• Grattage non ciblé de bases de données de reconnaissance faciale : IA qui crée ou étend des bases de données de reconnaissance faciale grâce à un scraping non ciblé

Action requise : si votre système d'IA entre dans l'une de ces catégories, un retrait immédiat du marché de l'UE est requis. Si des fonctionnalités de votre produit d’IA se rapprochent de ces définitions, un examen juridique est essentiel.

Niveau 2 : IA à haut risque

Les systèmes d’IA à haut risque (articles 6 et annexe III) sont soumis aux obligations de conformité les plus étendues. Le statut à haut risque s'applique à :

IA en tant que composant de sécurité des produits réglementés (Annexe I) : systèmes d'IA qui sont des composants de sécurité de produits soumis à la législation d'harmonisation de l'UE (dispositifs médicaux, machines, aviation, automobile, jouets, ascenseurs, équipements sous pression, équipements de protection individuelle, équipements radio, diagnostics in vitro, équipements marins, téléphériques, véhicules agricoles et forestiers, systèmes ferroviaires, bateaux de plaisance, explosifs)

Systèmes d'IA autonomes à haut risque (annexe III — 8 catégories) :

1. Identification biométrique et catégorisation des personnes physiques : Identification biométrique en temps réel et post-télécommande ; vérification biométrique; catégorisation biométrique
2. Infrastructure critique : IA gérant ou exploitant des infrastructures numériques critiques, le trafic routier ou des services publics (eau, gaz, chauffage, électricité)
3. Éducation et formation professionnelle : l'IA détermine l'accès à l'éducation, attribue les opportunités d'éducation, évalue les étudiants
4. Gestion de l'emploi et des travailleurs : Recrutement et sélection (filtrage des CV, évaluation des entretiens), évaluation des performances, décisions de promotion/licenciement, répartition des tâches dans les plateformes de gig economy
5. Accès aux services privés et publics essentiels : IA évaluant la solvabilité (sauf évaluation du crédit de petit volume/objet), évaluation des risques d'assurance, assurance médicale
6. Application de la loi : polygraphes, évaluation de la fiabilité des preuves, profilage des risques de criminalité, reconnaissance faciale dans les enregistrements destinés aux enquêtes criminelles
7. Migration, asile, contrôle des frontières : IA pour l'évaluation polygraphique des migrants/demandeurs d'asile, évaluation des risques de passage illégal, vérification des documents, demandes d'assistance
8. Administration de la justice et processus démocratiques : IA pour interpréter les faits et le droit dans les décisions judiciaires, influencer les élections/le comportement électoral

Niveau 3 : IA à risque limité

Systèmes d’IA avec obligations de transparence mais pas d’évaluation de la conformité :

• Chatbots et interaction avec l'IA : doivent divulguer aux utilisateurs qu'ils interagissent avec un système d'IA (sauf si cela est évident d'après le contexte)
• Reconnaissance des émotions et catégorisation biométrique : Divulguer aux individus lorsqu'ils sont soumis à ces systèmes
• Deepfakes : étiquetez le contenu généré par l'IA comme généré artificiellement ou manipulé (particulièrement important pour les élections, les actualités et le contenu éducatif)

Niveau 4 : IA à risque minimal

Les systèmes d’IA présentant un risque minime (filtres anti-spam, jeux vidéo basés sur l’IA, IA dans le contrôle qualité de la fabrication) ne sont soumis à aucune obligation spécifique en vertu de la loi sur l’IA au-delà des exigences générales du droit des produits. Encouragés à se conformer volontairement aux codes de conduite.

---

Obligations du système d'IA à haut risque

Si votre système d’IA est classé à haut risque, les obligations suivantes s’appliquent (chapitres 3 et 5) :

1. Système de gestion des risques (article 9)

Établir et maintenir un système de gestion des risques documenté couvrant l’ensemble du cycle de vie du système d’IA :

• Identification et analyse des risques raisonnablement prévisibles pour la santé, la sécurité et les droits fondamentaux
• Estimation et évaluation des risques
• Évaluation par rapport aux données de surveillance post-commercialisation
• Mesures de gestion des risques (risque résiduel acceptable, éliminé ou atténué)

2. Données et gouvernance des données (Article 10)

Les données de formation, de validation et de test doivent répondre à des critères de qualité spécifiques :

• Pertinent, représentatif, exempt d'erreurs et complet pour l'usage prévu
• Examiner les biais possibles et prendre les mesures d'atténuation appropriées
• Détection de biais, notamment concernant les caractéristiques protégées (race, sexe, âge, handicap)
• Documentation sur la provenance des données

3. Documentation technique (article 11 et annexe IV)

Préparer une documentation technique complète avant la mise sur le marché :

• Description générale du système d'IA
• Description détaillée des éléments et du processus de développement
• Surveillance, fonctionnement et contrôle du système
• Procédures de validation et de tests
• Documentation de gestion des risques
• Modifications apportées tout au long du cycle de vie
• Liste des normes harmonisées appliquées
• Copie de la déclaration UE de conformité

4. Tenue de registres et journalisation (article 12)

Les systèmes d’IA à haut risque doivent disposer d’une journalisation automatique activée tout au long de leur fonctionnement :

• Enregistrement des événements pertinents pour évaluer la conformité
• Logs opérationnels permettant d'identifier les risques et les incidents
• Journaux conservés pendant une période appropriée en fonction du cas d'utilisation (minimum 6 mois pour l'identification biométrique ; 3 ans pour l'IA d'emploi)

5. Transparence et information des déployeurs (Article 13)

L’IA à haut risque doit être suffisamment transparente pour que les déployeurs puissent comprendre ce qu’elle fait. Les fournisseurs doivent donner aux déployeurs :

• Mode d'emploi (clair, complet, correct, compréhensible)
• Informations sur les capacités et les limitations
• Mesures de performance sur des groupes spécifiques
• Spécifications des données d'entrée
• Informations permettant aux déployeurs de remplir leur obligation d'évaluation d'impact sur les droits fondamentaux

6. Contrôle humain (article 14)

L’IA à haut risque doit être conçue et développée pour permettre la surveillance humaine :

• Capacité à comprendre pleinement les capacités et les limites
• Capacité à surveiller le fonctionnement et à détecter les anomalies
• Possibilité de remplacer, d'interrompre ou d'arrêter le système
• Capacité à interpréter les résultats (en particulier l'IA biométrique et de l'emploi)
• Pour des décisions entièrement automatisées : des mesures de surveillance adaptées aux risques

7. Précision, robustesse et cybersécurité (article 15)

L’IA à haut risque doit atteindre des niveaux appropriés de :

• Précision adaptée à l'usage prévu
• Robustesse aux erreurs, fautes, incohérences et attaques contradictoires
• Cybersécurité tout au long du cycle de vie ; évaluation de la robustesse contradictoire

8. Système de gestion de la qualité (article 17)

Les prestataires doivent mettre en œuvre un système de management de la qualité couvrant :

• Stratégie de conformité réglementaire
• Techniques et processus pour la conception de systèmes d'IA
• Procédures de validation et de test du système
• Maintenance de la documentation technique
• Suivi post-commercialisation
• Cadre de responsabilité et approbation de la haute direction

9. Déclaration de conformité UE (article 47)

Les fournisseurs doivent rédiger une déclaration de conformité UE écrite et apposer le marquage CE avant la mise sur le marché.

10. Enregistrement dans la base de données de l'UE (article 49)

Les systèmes d’IA à haut risque (annexe III) doivent être enregistrés dans la base de données de l’UE avant leur mise sur le marché. La base de données EU AI Act est en cours de création par l’Office européen de l’IA.

---

Obligations du modèle d'IA à usage général (GPAI)

Le chapitre V (articles 51 à 56) traite spécifiquement des modèles d'IA à usage général – de grands modèles d'IA formés sur de vastes données qui peuvent effectuer un large éventail de tâches (GPT-4, Claude, Gemini, Llama). Les obligations s'appliquent aux fournisseurs du modèle GPAI, et non aux déployeurs.

Tous les fournisseurs de modèles GPAI (article 53)

• Préparer et maintenir la documentation technique pour les autorités nationales et le Bureau d'IA
• Fournir des informations et de la documentation aux fournisseurs en aval qui intègrent GPAI dans leurs systèmes d'IA
• Se conformer à la réglementation sur le droit d'auteur (Directive 2001/29/CE) — fournir une synthèse des données de formation
• Publier une synthèse des contenus utilisés pour la formation

Modèles GPAI pour le risque systémique (article 55)

Les modèles GPAI présentant un risque systémique – définis comme des modèles entraînés avec un calcul total dépassant 10 ^ 25 FLOP – sont confrontés à des obligations accrues :

• Tests contradictoires (red-teaming) selon des protocoles de pointe
• Signaler les incidents graves et les mesures correctives à AI Office
• Protection de cybersécurité pour les poids des modèles, l'architecture et les données d'entraînement
• Reporting sur l'efficacité énergétique

L’Office européen de l’IA tient à jour une liste de modèles GPAI à risque systémique. Les modèles actuellement désignés incluent le GPT-4 et des modèles frontaliers comparables. À mesure que les coûts de calcul diminuent, ce seuil peut capturer davantage de modèles au fil du temps.

---

Processus d'évaluation de la conformité

L'évaluation de la conformité détermine si un système d'IA à haut risque est conforme aux exigences de la loi sur l'IA avant sa mise sur le marché.

Auto-évaluation (Contrôle interne — Annexe VI) : Pour la plupart des systèmes d'IA à haut risque de l'Annexe III (à l'exception de l'identification biométrique), les fournisseurs peuvent auto-évaluer la conformité. Cela implique que le fournisseur effectue et documente l'évaluation complète par rapport à chaque exigence applicable, signe la déclaration de conformité et conserve la documentation technique.

Évaluation par un tiers (organisme notifié) : requis pour les systèmes d'identification biométrique (annexe III, point 1) et l'IA des composants de sécurité dans les produits de l'annexe I lorsque la législation d'harmonisation pertinente exige une évaluation par un tiers.

Organismes notifiés : Désignés par les États membres de l'UE et publiés dans la base de données NANDO. La désignation des organismes notifiés pour l’IA Act est en cours – les organisations devraient engager les organismes notifiés le plus tôt possible, compte tenu des probables contraintes de capacité.

---

Exigences du cadre de gouvernance de l'IA

Les articles 26 et 57 à 63 établissent des exigences de gouvernance pour les organisations qui déploient (et ne se contentent pas de fournir) une IA à haut risque :

Obligations du déployeur :

• Désigner un évaluateur humain ayant le pouvoir d'annuler les décisions de l'IA dans les cas d'utilisation à haut risque
• Veiller à ce que le personnel exploitant l'IA à haut risque soit formé et compétent
• Réaliser des évaluations d'impact sur les droits fondamentaux (FRIA) pour certaines IA à haut risque déployées par des organismes publics ou dans certains contextes du secteur privé
• Surveiller le fonctionnement des systèmes d'IA ; signaler les incidents aux prestataires
• Conserver les journaux d'opération pour des périodes de conservation minimales

Connaissance générale en IA : l'article 4 exige que les fournisseurs et les déployeurs s'assurent que leur personnel possède des connaissances suffisantes en IA, c'est-à-dire une compréhension des capacités, des limites et des risques de l'IA liés à leur rôle.

---

Liste de contrôle de conformité à la loi européenne sur l'IA

• Inventaire des systèmes d'IA terminé – tous les systèmes d'IA utilisés, fournis ou déployés ont été évalués
• Classification des risques déterminée pour chaque système d'IA (interdit, à haut risque, à risque limité, à risque minimal)
• Systèmes d'IA interdits (Annexe I) retirés ou modifiés d'ici février 2025
• Obligations du modèle GPAI évaluées en cas de fourniture de LLM ou de modèles de fondation
• Systèmes d'IA à haut risque identifiés — approche d'évaluation de la conformité déterminée (auto-organisme ou organisme notifié)
• Documentation technique préparée pour chaque système d'IA à haut risque
• Système de gestion des risques documenté -[ ] Procédures de gouvernance des données pour les données de formation/validation/test documentées
• Journalisation automatique mise en œuvre dans les systèmes d'IA à haut risque
• Mécanismes de surveillance humaine mis en œuvre pour l'IA à haut risque -[ ] Déclaration de conformité UE préparée et marquage CE appliqué
• Systèmes d'IA à haut risque enregistrés dans la base de données de l'UE
• Création d'un système de gestion de la qualité pour le développement de l'IA
• Mode d'emploi préparé pour les déployeurs
• Plan de surveillance post-commercialisation établi
• Mise en œuvre d'un programme d'alphabétisation en IA pour le personnel concerné
• Processus FRIA établi pour les contextes de déploiement applicables

---

Questions fréquemment posées

La loi européenne sur l'IA s'applique-t-elle aux outils d'IA que nous utilisons en interne et non vendus en externe ?

Oui, lorsque ces outils entrent dans les catégories à haut risque. L’AI Act s’applique aussi bien aux fournisseurs (qui développent et mettent l’IA sur le marché) qu’aux déployeurs (qui utilisent les systèmes d’IA dans des contextes professionnels). Une organisation qui déploie un système d'IA tiers à haut risque (par exemple, un outil de sélection de recrutement alimenté par l'IA) a des obligations de déploiement, notamment la surveillance humaine, la formation du personnel et les évaluations d'impact sur les droits fondamentaux. Le fournisseur de cet outil a des obligations de fournisseur, notamment l'évaluation de la conformité et la documentation technique.

Nous utilisons l'API d'OpenAI pour créer une fonctionnalité d'IA : sommes-nous le fournisseur ou le déployeur ?

Vous êtes probablement le fournisseur d’un système d’IA à haut risque si le système d’IA global que vous déployez entre dans une catégorie à haut risque (Annexe III). OpenAI est un fournisseur de modèles GPAI avec ses propres obligations en vertu du chapitre V. Lorsque vous intégrez un modèle GPAI dans une application d'IA spécifique pour un cas d'utilisation réglementé (par exemple, sélection de CV, évaluation de crédit), vous devenez le fournisseur de ce système d'IA spécifique et assumez les obligations à haut risque de l'annexe III. OpenAI (en tant que fournisseur de modèles GPAI) doit vous fournir une documentation et des informations techniques pour permettre votre conformité.

Qu'est-ce qu'une évaluation d'impact sur les droits fondamentaux (FRIA) et quand est-elle requise ?

Une FRIA est une évaluation documentée de la manière dont un système d’IA à haut risque pourrait affecter les droits fondamentaux – vie privée, non-discrimination, liberté d’expression, accès à la justice, etc. En vertu de l’article 27, les déployeurs de systèmes d’IA à haut risque qui sont des organismes publics ou des opérateurs privés fournissant des services essentiels (banque, éducation, soins de santé) doivent procéder à une FRIA avant de déployer le système. L'évaluation prend en compte : quels droits pourraient être affectés, quels risques surviennent, comment les risques peuvent être atténués, qui est responsable. Le FRIA doit être enregistré auprès de l’autorité de surveillance du marché compétente.

Comment la loi de l'UE sur l'IA interagit-elle avec le RGPD ?

Les deux réglementations sont complémentaires. Le RGPD s'applique lorsque les systèmes d'IA traitent des données personnelles. La loi sur l’IA s’applique aux systèmes d’IA, qu’ils traitent ou non des données personnelles : elle couvre la conception, le déploiement et la surveillance du système d’IA. Les deux s'appliquent simultanément lorsque l'IA à haut risque traite des données personnelles : les exigences du RGPD en matière de base légale, de minimisation des données et les exigences DPIA s'appliquent au traitement des données ; Les exigences de l'AI Act en matière de gestion des risques, de journalisation, de surveillance humaine et d'évaluation de la conformité s'appliquent au système d'IA. Lorsque la loi sur l’IA et le RGPD ont des exigences qui se chevauchent (par exemple, transparence, prise de décision automatisée), le respect des deux doit être assuré.

Quelles sont les sanctions en cas de violation de la loi sur l'IA ?

Les amendes sont classées en fonction de la gravité de l'infraction : (1) Violations interdites en matière d'IA (article 5) : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé ; (2) Autres violations à haut risque des obligations en matière d'IA : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial ; (3) Fourniture d'informations incorrectes, incomplètes ou trompeuses aux autorités : jusqu'à 7,5 millions d'euros ou 1,5 % du chiffre d'affaires annuel global. Les PME et les startups ont des montants maximaux inférieurs pour les obligations en vertu des clauses (2) et (3). L'Office européen de l'IA a le pouvoir d'appliquer les modèles GPAI ; les autorités nationales de surveillance du marché appliquent sur leur territoire.

Quand devons-nous enregistrer notre système d'IA dans la base de données de l'UE ?

Les systèmes d’IA à haut risque couverts par l’annexe III doivent être enregistrés avant d’être mis sur le marché de l’UE ou mis en service. La base de données EU AI Act est en cours de création par l’Office européen de l’IA. La date limite du 2 août 2026 est celle à laquelle les obligations d’enregistrement s’appliquent pleinement aux IA autonomes à haut risque (annexe III). L'enregistrement nécessite : les détails du fournisseur, le nom et la version du système d'IA, l'objectif prévu, les catégories d'utilisateurs, la catégorie à haut risque, les détails de l'évaluation de la conformité et la référence de la déclaration de conformité.

---

Prochaines étapes

La loi européenne sur l’IA représente un changement fondamental dans la manière dont les systèmes d’IA doivent être développés, évalués et déployés sur le marché de l’UE. Pour les entreprises technologiques qui créent des produits d'IA, qu'il s'agisse d'outils internes ou d'applications destinées aux clients, la conformité nécessite d'intégrer la gouvernance de l'IA dans le cycle de vie de développement de vos produits, de la conception au déploiement et à la surveillance post-commercialisation.

Les services de la plateforme OpenClaw AI d'ECOSIRE sont conçus dans le respect de la loi européenne sur l'IA. Notre équipe aide les entreprises à évaluer leurs systèmes d'IA dans le cadre du cadre de risque de la loi, à mettre en œuvre les contrôles de gouvernance requis et à se préparer à l'évaluation de la conformité.

Explorez les services de conformité de l'IA : ECOSIRE OpenClaw Services

Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Des orientations sur la mise en œuvre de la loi européenne sur l’IA, des normes harmonisées et des codes de bonnes pratiques sont toujours en cours d’élaboration. Consultez un conseiller juridique qualifié de l’UE pour obtenir des conseils spécifiques à vos systèmes d’IA.