Contact
Nous contacter

IA Act : Quelle application et quelles conséquences ?

  • Publié le: 18 mars 2025

I. Un cadre législatif pour encadrer l’intelligence artificielle au sein de l’Union européenne

Adopté par l’Union européenne, le règlement (UE) 2024/16891, aussi appelé Règlement sur l’intelligence artificielle (RIA) ou AI Act, est entré en vigueur le 1er août 20242. Son objectif ? Établir un cadre harmonisé pour encadrer la mise sur le marché, la mise en service et l’utilisation des systèmes d’intelligence artificielle (SIA) au sein de l’UE. Il s’inscrit dans une démarche plus large de régulation numérique aux côtés du Data Act, qui vise à encadrer l’accès et le partage des données dans l’Union européenne. 

Ce texte vise un double enjeu : stimuler l’innovation tout en protégeant les droits fondamentaux des personnes, la démocratie et l’Etat de droit.

Pour cela, le RIA adopte une approche basée sur les risques, en classant les SIA selon leur niveau de risque :

  • Risque inacceptable -> interdiction (Art 5) ;
  • Haut risque -> obligations strictes (Art 6) ;
  • Risque limité -> obligations de transparence (Art 50) ;
  • Risque minimal ou nul -> cadre souple (Art 95) ;

II. Quel champ d’application du RIA ?

1. Champ d’application matériel : quels systèmes d’IA sont-ils concernés par le règlement ?

Le RIA couvre à la fois les SIA et les modèles d’IA à usage général (Art 3), mais certains échappent à son champ d’application :

  • Les SIA à des fins militaires, de défense ou de sécurité nationale (Art 2.3)
  • Les systèmes et modèles pour la recherche et le développement scientifique, tout comme leurs applications. (Art 2.6)
  • Le RIA ne s’applique pas aux particuliers qui utilisent l’IA à des fins personnelles, sans lien avec une activité professionnelle. (Art 2.10)

2. Champ d’application territorial : quelles activités sont-elles concernées par le RIA ? 

Les principaux opérateurs et acteurs visés par ce nouveau règlement (Art 2.1) sont les suivants : 

  • Les fournisseurs établis dans l’UE ou dans un pays tiers et qui mettent sur le marché ou en services des SIA ou mettent sur le marché des modèles d’IA ;
  • Les déployeurs de SIA établis dans l’UE ;
  • Les fournisseurs et déployeurs établis hors UE si les sorties d’IA sont utilisées dans l’UE. Les sorties correspondent à des prédictions, du contenu, des recommandations ou des décisions émanant d’un SIA (Art 3.1) ;
  • Les importateurs de SIA ;
  • Les distributeurs de SIA ;
  • Les fabricants qui mettent un SIA sur le marché ou le mettent en service avec leur produit, sous leur nom ou leur marque ;
  • Les mandataires des fournisseurs qui sont établis hors UE ;

A noter, le RIA ne se limite pas aux frontières de l’UE. En effet, il s’applique à tous les SIA introduits sur le marché européen. Autrement dit, dès qu’un SIA est mis sur le marché ou mis en service au sein de l’UE, les dispositions du RIA peuvent potentiellement être applicables. 

Plus encore, le règlement couvre les SIA hors UE dont les sorties et données sont exploitées au sein même de l’UE. Ce principe d’extraterritorialité du RIA rappelle celui du RGPD, qui s’applique aux responsables du traitement des données personnelles de citoyens européens, même s’ils sont situés hors de l’UE.

Les acteurs doivent également s’assurer que leurs pratiques sont conformes aux obligations RGPD en vigueur.

3. Calendrier de mise en application du RIA ?

Le RIA sera appliqué de manière progressive, suivant le calendrier suivant :

  • 2 février 2025 -> Interdiction des SIA à risque inacceptable (Chapitres I et II).
  • 2 août 2025 -> Mise en œuvre des mesures spécifiques aux IA à usage général et désignation des autorités compétentes au niveau national. Application des chapitre III section 4, chapitres V, VII, XII et l’article 78 à l’exception de l’article 101.
  • 2 août 2026 -> Application générale du RIA.
  • 2 août 2027 -> Mise en œuvre des règles concernant les IA à haut risque spécifiées dans l’annexe I.

III. Classification et obligations liées aux systèmes d’IA

Tous les systèmes d’IA ne présentent pas le même degré de risque. C’est pourquoi le règlement adapte ses obligations en fonction du niveau de risque. Voici les 4 grandes catégories de SIA régies :

1. SIA à risque inacceptables : quels sont les sytèmes d’IA interdits

Certains SIA sont jugés inacceptables car ils contreviennent aux principes fondamentaux de l’UE et aux droits humains. L’article 5 précise les systèmes concernés, tels que la notation sociale, la prédiction de crimes futurs, ou encore l’exploitation des vulnérabilités des personnes dans le but d’influencer leur comportement.

2. Quels systèmes d’IA sont considérés à haut risque ?

Décrit à l’article 6 et listée à l’annexe III, ces systèmes sont susceptibles de porter atteinte à la santé, à la sécurité ou aux droits des individus. On retrouve en annexe III les SIA à haut risque répertoriées dans les domaines de :

  • La biométrie (Ex : SIA d’identification biométrique à distance)
  • Les infrastructures critiques (Ex : SIA utilisé comme composant de sécurité dans la gestion et l’exploitation d’infrastructures numériques critiques)
  • L’éducation et formation professionnelle (Ex : SIA utilisés pour évaluer les acquis d’apprentissage)
  • L’emploi, la gestion de la main-d’œuvre et l’accès à l’emploi indépendant (ex : SIA utilisés pour le recrutement ou la sélection de personnes physiques) ;
  • L’accès et droit aux services privés essentiels et aux services publics et prestations sociales essentiels (Ex : SIA pour évaluer l’éligibilité des personnes physiques aux prestations et services d’aide sociale essentiels) ;
  • La répression (Ex : SIA pour évaluer la fiabilité des preuves au cours d’enquêtes ou de poursuites pénales) ;
  • La migration, l’asile et la gestion des contrôles aux frontières (Ex : SIA pour évaluer un risque comme la migration irrégulière) ;
  • L’administration de la justice et processus démocratiques (Ex : SIA pour la recherche et l’interprétation de faits ou de la loi).

3. SIA à risque limité 

Selon l’article 50 du RIA, certains systèmes d’IA, notamment ceux générant des deepfakes/hypertrucages, peuvent être utilisés à des fins de manipulation. Bien qu’ils soient considérés comme présentant un risque limité, ils restent soumis à des obligations de transparence et d’informations. Par exemple, « Les déployeurs d’un système d’IA qui génère ou manipule des images ou des contenus audio ou vidéo constituant un hypertrucage indiquent que les contenus ont été générés ou manipulés par une IA » (Art 50.4)

4. SIA à risque minimal ou inexistant

Il s’agit de SIA présentant un risque négligeable pour les personnes. Ces systèmes sont régis par des codes de conduite qui seront définis ultérieurement, selon l’article 95 du RIA.

IV. Systèmes d’IA interdits

Le chapitre II qui consacre l’interdiction des SIA à risque inacceptables est entré en application le 2 février 2025 et prévoit les interdictions suivantes : 

Article RIAInterdictionDescription
5(1)(a)Manipulation et tromperieSIA utilisant des techniques subliminales, manipulatrices, au-delà de la conscience d’une personne ou d’un groupe de personnes, ou des techniques délibérément trompeuses, visant à distordre/ altérer les comportements ou à causer des préjudices importants.
5(1)(b)Exploitation des vulnérabilitésSIA exploitant des vulnérabilités liées à l’âge, au handicap ou à une situation sociale ou économique spécifique, afin de distordre le comportement ou de causer des préjudices importants.
5(1)(c)Notation socialeSystèmes d’IA évaluant ou classifiant des personnes ou groupes en fonction de leur comportement social ou de caractéristiques personnelles, entraînant un traitement défavorable ou préjudiciable.
5(1)(d)Prédiction d’infraction criminelleSIA évaluant ou prédisant le risque qu’une personne commette une infraction pénale, basé uniquement sur des traits de personnalité ou caractéristiques. Exception à cette interdiction pour soutenir une évaluation humaine basée sur des faits objectifs et vérifiables.
5(1)(e)Scraping pour la reconnaissance facialeSIA qui créent ou développent des bases de données de données de reconnaissance faciale via le scraping non ciblé d’images faciales provenant d’internet ou de vidéos de vidéosurveillance.
5(1)(f)Reconnaissance des émotionsSIA qui infèrent les émotions au travail ou dans les établissements d’enseignement, sauf pour des raisons médicales ou de sécurité.
5(1)(g)Catégorisation biométriqueSIA qui catégorisent les personnes en fonction de leurs données biométriques pour en déduire leur race, opinions politiques, appartenance syndicale, croyances religieuses ou philosophiques ou orientation sexuelle.
5(1)(h)Identification biométrique à distanceSIA utilisés pour l’identification biométrique à distance en temps réel dans des espaces publics à des fins de maintien de l’ordre, sauf si nécessaire pour des recherches ciblées de victimes, la prévention de menaces spécifiques ou la localisation et identification d’une personne dans le cadre d’une enquête pénale, de poursuites ou de l’exécution d’une sanction pénale.

V. Quelles obligations pour les entreprises et les développeurs ?

Mise en place d’un système de gestion des risques pour les SIA

Les entreprises doivent mettre en place un système de gestion des risques liés à l’IA, conformément à l’article 9 du RIA. Cela inclut :

  • Une analyse préalable des impacts des SIA sur les droits fondamentaux ;
  • Un suivi continu et des audits pour garantir la conformité aux exigences du règlement.

Le rôle du coordonnateur national pour l’intelligence artificielle

Chaque État membre doit désigner un coordonnateur national pour l’intelligence artificielle (Art. 59). Son rôle est de :

  • Superviser la mise en application du RIA au niveau national ;
  • Fournir des conseils aux entreprises et aux développeurs sur la conformité des systèmes d’IA ;
  • Coordonner avec la Commission européenne et les autorités de contrôle.

VI. Quelles sanctions en cas de non-conformité ?

Sanctions financières et responsabilité juridique des entreprises

Le RIA prévoit des sanctions importantes en cas de non-respect du cadre réglementaire. Celles-ci varient en fonction de la gravité des infractions :

  • Jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les infractions les plus graves (ex : mise sur le marché d’un SIA interdit).
  • Jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires pour non-respect des obligations des SIA à haut risque.
  • Jusqu’à 7,5 millions d’euros ou 1,5 % du chiffre d’affaires pour défaut de coopération avec les autorités.

Comment les entreprises peuvent-elles se conformer ?

Pour limiter les risques de sanctions, les entreprises doivent anticiper la mise en application du RIA en mettant en place :

  • Des audits réguliers de leurs systèmes d’IA ;
  • Des registres documentant l’utilisation des SIA ;
  • Une politique de transparence et de contrôle des systèmes mis sur le marché.

Aumans Avocats : spécialistes en IT/Data, protection des données et externalisation de DPO

En tant que cabinet d’avocats spécialisé IT / Data et protection des données, nous sommesà votre disposition pour vous accompagner dans tous vos projets. Que vous soyez unestartup, une PME ou un groupe de sociétés, notre expertise vous permettra de naviguersereinement dans le paysage complexe de la réglementation et de la conformité. N’hésitezpas à nous contacter pour bénéficier de conseils personnalisés et sécuriser votre avenir numérique.

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj?locale=fr – Règlement 2024/1689 ↩︎
  2. https://digital-strategy.ec.europa.eu/fr/policies/regulatory-framework-ai#:~:text=La%20l%C3%A9gislation%20sur%20l’IA%20est%20entr%C3%A9e%20en%20vigueur%20le,application%20le%202%20f%C3%A9vrier%202025 ↩︎

AUMANS AVOCATS (anciennement FOUSSAT AVOCATS & DEROULEZ AVOCATS)
AARPI
Paris +33 (0)1 85 08 54 76 / Lyon +33 (0)4 28 29 14 92 /
Marseille +33 (0)4 84 25 67 89 / Bruxelles +32 (0)2 318 18 36

Nous contacter

Catégories

Partager

Articles associés

Tous nos articles sur le droit du numérique