Comprendre

IA Act

Comprendre l’IA Act : classification par risque, obligations pour haut risque, GPAI, rôles fournisseur/déployeur et calendrier d’application (2024–2027).

L'IA Act (règlement UE 2024/1689) constitue le premier cadre réglementaire mondial pour l'intelligence artificielle. Entré en vigueur le 1er août 2024, ce texte établit une approche graduée basée sur les risques, allant de l'interdiction pure et simple pour certains usages jusqu'à de simples obligations de transparence pour d'autres. Cette réglementation européenne vise à garantir que les systèmes d'IA respectent les droits fondamentaux tout en préservant l'innovation technologique.

Le règlement s'applique aux fournisseurs qui mettent des systèmes d'IA sur le marché européen, aux déployeurs qui les utilisent à des fins professionnelles, ainsi qu'aux importateurs et distributeurs. Toute organisation utilisant l'IA dans un contexte professionnel doit donc comprendre ses obligations selon la classification de risque de ses systèmes. L'approche par les risques permet d'adapter les exigences à l'impact potentiel sur les individus et la société.

Classification par niveau de risque

Systèmes interdits

Certaines pratiques d'IA sont purement et simplement interdites car jugées contraires aux valeurs européennes. Ces interdictions visent principalement les systèmes de manipulation cognitive et de surveillance de masse.

Les systèmes utilisant des techniques subliminales ou exploitant les vulnérabilités liées à l'âge ou au handicap pour altérer significativement le comportement sont prohibés. De même, les systèmes de notation sociale par les autorités publiques, qui évaluent ou classent les personnes physiques selon leur comportement social, tombent sous le coup de l'interdiction. Les systèmes d'identification biométrique en temps réel dans les espaces publics par les forces de l'ordre font également l'objet de restrictions strictes, sauf exceptions limitées pour des crimes graves.

Systèmes haut risque

Les systèmes d'IA haut risque sont ceux susceptibles d'avoir un impact significatif sur la santé, la sécurité ou les droits fondamentaux. Cette catégorie englobe les domaines sensibles comme l'éducation, l'emploi, les services publics essentiels ou l'application de la loi.

L'annexe III du règlement liste précisément ces domaines : systèmes de gestion et d'exploitation d'infrastructures critiques, systèmes d'évaluation éducative, systèmes de recrutement et de gestion des travailleurs, systèmes d'évaluation de la solvabilité ou du risque de crédit. Les systèmes d'aide à la décision judiciaire, de gestion des migrations et d'assistance à l'interprétation des faits et du droit entrent également dans cette catégorie. Ces systèmes doivent respecter des obligations strictes de conformité avant leur mise sur le marché.

Systèmes à risque limité

Cette catégorie intermédiaire concerne les systèmes présentant des risques spécifiques de manipulation ou de tromperie. Les obligations se concentrent sur la transparence et l'information des utilisateurs.

Les systèmes d'IA interagissant avec des personnes physiques doivent clairement informer qu'il s'agit d'un système automatisé, sauf si cela est évident du contexte. Les systèmes de reconnaissance d'émotions, de catégorisation biométrique ou de génération de contenu (deepfakes) doivent également signaler leur nature artificielle. Cette approche de transparence permet aux utilisateurs de prendre des décisions éclairées sur leur interaction avec ces systèmes.

Obligations pour systèmes haut risque

Système de gestion de la qualité

Les fournisseurs de systèmes haut risque doivent mettre en place un système de gestion de la qualité documenté et systématique. Ce système couvre l'ensemble du cycle de vie du système d'IA, de la conception à la mise hors service.

Le système de gestion de la qualité comprend une stratégie de gouvernance et de gestion des risques, des techniques et procédures de conception et développement, ainsi que des processus d'examen de la qualité. Il inclut également des procédures de gestion des modifications, de tenue de registres et de gestion des ressources. Cette approche systémique garantit une traçabilité complète et une amélioration continue des performances du système. L'organisation doit désigner des responsables qualité et maintenir une documentation détaillée de tous les processus.

Gestion des données et gouvernance

La qualité des données constitue un pilier fondamental de la conformité pour les systèmes haut risque. Les fournisseurs doivent établir des pratiques appropriées de gouvernance et de gestion des données.

Les jeux de données d'entraînement, de validation et de test doivent être pertinents, représentatifs et exempts d'erreurs dans la mesure du possible. Une attention particulière doit être portée aux biais potentiels susceptibles d'entraîner des discriminations. Les données doivent être complètes au regard de l'usage prévu et posséder les propriétés statistiques appropriées. La qualité des données fait l'objet d'un contrôle continu, avec des procédures de correction et de mise à jour régulières.

Documentation technique et transparence

Chaque système haut risque doit être accompagné d'une documentation technique exhaustive permettant aux autorités de contrôle et aux déployeurs de comprendre son fonctionnement. Cette documentation constitue un élément clé de la traçabilité.

La documentation comprend une description générale du système d'IA, y compris sa finalité prévue et les éléments du système. Elle détaille les algorithmes utilisés, les données d'entraînement et leurs sources, ainsi que les procédures de validation et de test. Les résultats d'évaluation, les mesures de gestion des risques et les instructions d'utilisation doivent également figurer dans cette documentation. Cette documentation des processus facilite l'audit et la maintenance du système tout au long de son cycle de vie.

Modèles d'IA à usage général

GPAI : définition et obligations

Les modèles d'IA à usage général (GPAI - General Purpose AI) désignent les modèles entraînés sur de grandes quantités de données et conçus pour effectuer diverses tâches. Cette catégorie inclut notamment les grands modèles de langage et les modèles multimodaux.

Les fournisseurs de GPAI doivent élaborer et tenir à jour une documentation technique détaillée, y compris les instructions d'utilisation. Ils doivent mettre en place une politique de respect du droit d'auteur et publier un résumé suffisamment détaillé du contenu utilisé pour l'entraînement. Ces obligations visent à assurer la transparence sur les capacités et limitations de ces modèles puissants. La nature générative de nombreux GPAI nécessite une attention particulière aux risques de génération de contenu inapproprié.

Modèles à risque systémique

Les GPAI présentant un risque systémique sont soumis à des obligations renforcées. Le seuil est fixé à 10^25 FLOPS (opérations en virgule flottante) pour l'entraînement, soit environ 25 fois la puissance de calcul utilisée pour GPT-4.

Ces modèles doivent procéder à une évaluation des modèles conformément à des protocoles et outils normalisés. Ils doivent évaluer et atténuer les risques systémiques possibles au niveau de l'Union, notamment ceux liés aux accidents graves. Les fournisseurs doivent assurer un niveau de cybersécurité adéquat et signaler sans délai aux autorités compétentes tout incident grave. Le suivi des capacités émergentes et des risques associés constitue une obligation continue pour ces modèles de très grande envergure.

Intégration dans des systèmes en aval

L'utilisation d'un GPAI dans un système d'IA ne dispense pas le fournisseur final de ses obligations de conformité. L'intégration peut transformer un modèle général en système haut risque selon l'usage qui en est fait.

Les fournisseurs de systèmes intégrant des GPAI doivent évaluer si leur système final relève de la catégorie haut risque. Dans ce cas, toutes les obligations correspondantes s'appliquent, y compris l'évaluation de conformité et le marquage CE. Cette approche en cascade garantit que les risques sont évalués au niveau de l'usage final plutôt qu'uniquement au niveau du modèle de base. La responsabilité du déployeur final reste engagée même lors de l'utilisation de modèles tiers conformes.

Rôles fournisseur et déployeur

Obligations du fournisseur

Le fournisseur désigne toute personne physique ou morale qui développe un système d'IA ou fait développer un système d'IA en vue de le mettre sur le marché ou de le mettre en service sous son nom ou sa marque. Cette définition englobe les éditeurs de logiciels, les intégrateurs et les organisations développant des solutions internes.

Les fournisseurs de systèmes haut risque doivent concevoir et développer ces systèmes de manière à respecter les exigences essentielles du règlement. Ils procèdent à l'évaluation de conformité, établissent la documentation technique et apposent le marquage CE. La surveillance post-commercialisation, la déclaration d'incidents graves et la coopération avec les autorités compétentes font partie de leurs obligations continues. Les fournisseurs doivent également maintenir un système de gestion de la qualité tout au long du cycle de vie du produit.

Responsabilités du déployeur

Le déployeur correspond à toute personne physique ou morale qui utilise un système d'IA sous son autorité, sauf si ce système est utilisé dans le cadre d'une activité personnelle non professionnelle. Cette définition couvre la majorité des entreprises utilisant des solutions d'IA.

Les déployeurs de systèmes haut risque doivent utiliser ces systèmes conformément aux instructions d'utilisation et assurer une surveillance humaine appropriée. Ils procèdent au suivi du fonctionnement du système et conservent les journaux générés automatiquement. En cas d'incident ou de dysfonctionnement, ils doivent prendre les mesures correctives nécessaires et informer le fournisseur. Cette supervision humaine garantit un contrôle effectif sur les décisions automatisées. Les déployeurs doivent également évaluer l'impact sur les droits fondamentaux pour certains usages sensibles.

Chaîne de responsabilité

La répartition des responsabilités suit une logique de chaîne de valeur où chaque acteur répond de ses propres actions et décisions. Cette approche évite les zones grises juridiques tout en préservant l'innovation.

Lorsqu'un déployeur modifie substantiellement un système d'IA haut risque, il peut devenir fournisseur pour les aspects modifiés. Les importateurs et distributeurs ont également des obligations spécifiques de vérification et de traçabilité. En cas de modification significative de l'usage prévu, le déployeur doit procéder à une nouvelle évaluation des risques. Cette répartition claire des rôles facilite l'identification des responsabilités en cas de problème et encourage chaque acteur à prendre ses responsabilités dans sa sphère de contrôle.

Calendrier d'application

Échéances 2024-2025

Le règlement IA Act suit un calendrier d'application échelonné permettant aux organisations de s'adapter progressivement. Les premières échéances concernent les pratiques les plus critiques.

Depuis le 2 février 2025, les pratiques d'IA interdites ne peuvent plus être utilisées sur le territoire européen. Cette interdiction immédiate vise les systèmes de manipulation cognitive, de notation sociale et certains usages de l'identification biométrique. Les sanctions peuvent atteindre 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial pour les violations les plus graves. Dès août 2025, les codes de bonnes pratiques pour les modèles d'IA à usage général entreront en vigueur, établissant des standards sectoriels.

Obligations 2026-2027

L'année 2026 marque une étape majeure avec l'entrée en application des obligations pour les systèmes haut risque. Cette période laisse aux organisations le temps nécessaire pour adapter leurs processus et systèmes.

À partir du 2 août 2026, tous les nouveaux systèmes haut risque mis sur le marché devront respecter intégralement les exigences du règlement. Les systèmes existants bénéficient d'un délai supplémentaire jusqu'au 2 août 2027 pour se mettre en conformité. Cette approche progressive évite une disruption brutale tout en garantissant une transition maîtrisée vers la conformité. Les autorités nationales compétentes seront pleinement opérationnelles pour les contrôles et sanctions à ces échéances.

Préparation anticipée

Malgré ces délais, une préparation anticipée s'avère indispensable compte tenu de la complexité des obligations. Les organisations doivent commencer dès maintenant l'inventaire et la classification de leurs systèmes d'IA.

La mise en place des systèmes de gestion de la qualité, la documentation technique et les processus de gouvernance des données nécessitent plusieurs mois de travail. Les équipes doivent acquérir les compétences nécessaires et adapter leurs méthodes de développement. Une approche par étapes permet de réduire les risques de non-conformité et d'optimiser les coûts de mise en œuvre. L'anticipation facilite également l'obtention des certifications nécessaires auprès des organismes notifiés.

Mise en conformité pratique

Audit et classification des systèmes

La première étape consiste à réaliser un inventaire exhaustif de tous les systèmes d'IA utilisés ou développés par l'organisation. Cette cartographie permet d'identifier les obligations applicables selon la classification de chaque système.

L'audit doit couvrir les systèmes développés en interne, les solutions achetées auprès de tiers, ainsi que les services d'IA utilisés via des API ou des plateformes cloud. Pour chaque système, il convient d'évaluer la finalité prévue, les données traitées et l'impact potentiel sur les personnes. Cette analyse de risque détermine la catégorie réglementaire et les obligations correspondantes. La documentation de cet audit constitue la base du plan de mise en conformité et facilite les contrôles ultérieurs.

Les organisations doivent également anticiper l'évolution de leurs systèmes et les nouveaux développements prévus. Une approche de registre permet de maintenir cette cartographie à jour et de détecter rapidement les changements de classification. L'implication des équipes métier s'avère essentielle pour identifier tous les usages de l'IA dans l'organisation.

Gouvernance et processus qualité

Pour les systèmes haut risque, la mise en place d'un système de gestion de la qualité robuste constitue un prérequis incontournable. Cette démarche s'inspire des standards qualité existants tout en intégrant les spécificités de l'IA.

La gouvernance doit définir clairement les rôles et responsabilités, depuis la conception jusqu'à la maintenance des systèmes d'IA. Les processus de développement doivent intégrer les exigences réglementaires dès les phases amont, selon une approche de privacy by design étendue à la conformité IA. La gestion des changements, la traçabilité des décisions et le contrôle des versions deviennent des éléments critiques. Les équipes doivent être formées aux nouvelles exigences et aux bonnes pratiques de développement responsable de l'IA.

  1. Établir une politique de gouvernance de l'IA définissant les principes directeurs, les processus de validation et les critères d'acceptation des risques pour tous les projets d'intelligence artificielle.
  2. Mettre en place des comités de revue multidisciplinaires incluant des experts techniques, juridiques et métier pour évaluer les systèmes d'IA avant leur déploiement et lors des évolutions majeures.
  3. Développer des procédures de gestion des incidents spécifiques à l'IA, incluant la détection automatisée des dérives, les processus d'escalade et les mesures correctives pour maintenir la conformité en continu.
  4. Instaurer des cycles de révision périodique des systèmes d'IA pour vérifier le maintien des performances, l'absence de biais discriminatoires et l'adéquation avec l'évolution réglementaire et technologique.

Formation et sensibilisation des équipes

La réussite de la mise en conformité repose largement sur l'appropriation des enjeux par les équipes. Une stratégie de formation adaptée aux différents profils et responsabilités s'avère indispensable.

Les développeurs doivent acquérir les compétences techniques pour intégrer les exigences de conformité dans leurs pratiques de développement. Les équipes métier doivent comprendre les implications de l'IA Act sur leurs processus et leurs responsabilités de déployeur. La direction et les équipes juridiques nécessitent une vision stratégique des enjeux réglementaires et des risques associés. Cette montée en compétence collective facilite l'adoption des nouvelles pratiques et réduit les risques d'erreur. La sensibilisation continue permet de maintenir un niveau de vigilance approprié face à l'évolution rapide du domaine.

FAQ

Mon entreprise utilise ChatGPT pour la rédaction, suis-je concerné par l'IA Act ?

Oui, en tant que déployeur d'un système d'IA, vous devez vérifier si votre usage relève de la catégorie haut risque selon l'annexe III. Pour la rédaction classique, les obligations restent limitées, mais vous devez respecter les conditions d'utilisation et maintenir une supervision humaine appropriée.

Quand dois-je apposer le marquage CE sur mon système d'IA ?

Le marquage CE est obligatoire uniquement pour les systèmes d'IA haut risque mis sur le marché européen. Il atteste de la conformité aux exigences essentielles du règlement après évaluation de conformité. Cette obligation s'applique à partir du 2 août 2026 pour les nouveaux systèmes.

Comment savoir si mon modèle d'IA présente un risque systémique ?

Un modèle d'IA présente un risque systémique s'il dépasse le seuil de 10^25 FLOPS pour l'entraînement. Ce seuil très élevé ne concerne actuellement que les plus grands modèles comme GPT-4 et ses successeurs. La plupart des modèles d'entreprise restent en dessous de ce seuil.

De l’idée à l’impact : passons à l’exécution

En 30 minutes, nous clarifions votre enjeu, vérifions la faisabilité technique et identifions les premiers quick wins. Vous repartez avec une feuille de route pragmatique : prochaines étapes, risques clés et jalons mesurables, côté process, données et automatisation.

Planifier un échange de cadrage