L’IA Act impose le premier cadre juridique mondial dédié à la régulation de l’intelligence artificielle. Adopté en 2024 par le Parlement européen avec 523 voix pour, ce règlement classe chaque système d’IA selon son niveau de risque et fixe des obligations proportionnées — de l’interdiction pure à l’absence totale de contrainte.
Quatre niveaux de risque, quatre régimes distincts
Le règlement repose sur une pyramide à quatre étages. Chaque catégorie déclenche un degré d’obligation différent.
Risque inacceptable : les lignes rouges
Certaines pratiques sont interdites depuis février 2025 :
- La notation sociale (social scoring) par les autorités publiques
- L’exploitation des vulnérabilités liées à l’âge ou au handicap
- La reconnaissance faciale en temps réel dans l’espace public, sauf trois exceptions (menace terroriste imminente, recherche de victimes, enquête sur infraction grave)
- La manipulation subliminale causant un préjudice
Selon la Commission européenne, moins de 5 % des systèmes d’IA commercialisés en Europe relèvent de cette catégorie.
Risque élevé : le cœur du dispositif
Les systèmes d’IA à haut risque concentrent 80 % des obligations du règlement. Sont visés les systèmes utilisés dans :
- Le recrutement et la gestion RH
- L’accès au crédit, à l’assurance et aux services essentiels
- L’application de la loi et la justice
- L’éducation et la formation professionnelle
- Les infrastructures critiques (énergie, transport, eau)
Six obligations structurantes :
| Obligation | Ce que ça implique concrètement |
|---|---|
| Évaluation de conformité | Audit avant mise sur le marché, par l’entreprise ou un organisme notifié |
| Gestion des risques | Processus documenté, révisé au minimum une fois par an |
| Qualité des données | Jeux d’entraînement pertinents, représentatifs, sans biais discriminatoires |
| Transparence | Documentation technique lisible par un non-spécialiste |
| Supervision humaine | Un opérateur humain doit pouvoir interrompre le système à tout moment |
| Robustesse technique | Résilience face aux erreurs, aux attaques adverses et aux tentatives de manipulation |
Ces exigences de robustesse recoupent directement les obligations légales de cybersécurité déjà en vigueur (NIS 2, DORA).
Risque limité : l’obligation de transparence
Les chatbots, deepfakes et contenus générés par IA relèvent de cette catégorie. Seule contrainte : informer l’utilisateur qu’il interagit avec une machine. 70 % des systèmes d’IA déployés en entreprise en Europe entrent dans ce périmètre, d’après une estimation de l’OCDE publiée en janvier 2026.
Risque minimal : pas d’obligation spécifique
Les filtres anti-spam, les correcteurs orthographiques, les systèmes de recommandation de contenu. Aucune contrainte au titre de l’IA Act.
Ce que doivent faire les fournisseurs
Un fournisseur développe ou fait développer un système d’IA à haut risque. Ses obligations :
- Déployer un système de gestion de la qualité conforme à l’article 17 du règlement
- Réaliser l’évaluation de conformité — auto-évaluation pour la majorité des cas, organisme notifié pour les systèmes biométriques
- Apposer le marquage CE attestant la conformité
- Enregistrer le système dans la base de données européenne (opérationnelle depuis août 2025)
- Surveiller le fonctionnement après commercialisation et signaler tout incident grave
Ce que doivent faire les déployeurs
Les entreprises qui achètent et utilisent un système d’IA à haut risque portent aussi des obligations :
- Respecter le mode d’emploi fourni par le fournisseur
- Garantir une supervision humaine effective
- Surveiller le fonctionnement en conditions réelles
- Remonter tout dysfonctionnement au fournisseur sous 72 heures
- Réaliser une analyse d’impact sur les droits fondamentaux (secteurs public, bancaire, assurantiel)
Les outils legaltech exploitant l’IA pour l’aide à la décision judiciaire entrent dans cette catégorie à haut risque.
Calendrier : quatre dates à retenir
| Date | Ce qui entre en vigueur |
|---|---|
| Février 2025 | Interdictions (risque inacceptable) |
| Août 2025 | Obligations sur les modèles d’IA à usage général (GPT, Gemini, Mistral) |
| Août 2026 | Totalité des obligations pour les systèmes à haut risque |
| Août 2027 | Application complète, y compris les systèmes intégrés dans des produits réglementés (dispositifs médicaux, machines industrielles) |
Sanctions : des montants dissuasifs
Les amendes suivent une logique de proportionnalité :
- 35 millions d’euros ou 7 % du CA mondial pour l’utilisation d’un système interdit
- 15 millions d’euros ou 3 % du CA mondial pour le non-respect des obligations (haut risque, IA à usage général)
- 7,5 millions d’euros ou 1 % du CA mondial pour les informations inexactes fournies aux autorités
À titre de comparaison, le RGPD plafonne à 20 millions d’euros ou 4 % du CA. L’IA Act va plus loin.
Cinq actions pour se préparer maintenant
Les entreprises développant ou déployant des systèmes d’IA gagnent à anticiper :
- Cartographier chaque système d’IA en service et le classer par niveau de risque
- Désigner un responsable IA conformité, distinct du DPO (même si les deux profils doivent collaborer)
- Constituer la documentation technique exigée — registre des systèmes, évaluations de conformité, journaux de supervision
- Former les équipes métier et IT aux nouvelles obligations, en intégrant ce volet dans le plan de développement des compétences
- Budgéter la mise en conformité : entre 50 000 et 400 000 euros pour une ETI, selon le nombre de systèmes concernés (estimation PwC, 2025)
Les entreprises qui structurent leur conformité IA dès maintenant transformeront cette contrainte réglementaire en avantage concurrentiel face à des concurrents moins préparés.
