Contact

IA Act : Tout comprendre au règlement européen sur l’IA

Depuis le 2 février 2025, l’IA Act est officiellement entré en vigueur, marquant une étape clé dans la régulation des technologies d’intelligence artificielle en Europe. Ce règlement introduit une classification des systèmes d’IA en fonction de leur niveau de risque et impose des exigences strictes aux développeurs et déployeurs, en particulier pour les systèmes considérés comme à haut risque.

Désormais, les entreprises doivent anticiper ces nouvelles contraintes pour garantir la conformité de leurs systèmes. L’IA Act ne se limite pas à restreindre certains usages, il impose aussi des exigences en matière de transparence, de gouvernance des données et de cybersécurité.

Une classification des systèmes d’IA par niveau de risque

L’IA Act établit une hiérarchie des risques selon quatre niveaux distincts :

  • Les systèmes d’IA présentant un risque inacceptable sont totalement interdits. Il s’agit notamment des solutions de notation sociale, de reconnaissance des émotions en milieu professionnel ou scolaire, de police prédictive et des bases de données de reconnaissance faciale utilisées à grande échelle. Certaines exceptions existent notamment pour l’utilisation de la surveillance biométrique en temps réel à des fins judiciaires.

  • Les systèmes d’IA à haut risque, qui concernent des domaines sensibles, restent autorisés, mais sont soumis à des obligations strictes. Cette catégorie inclut les systèmes utilisés dans la biométrie, les infrastructures critiques, l’éducation, l’emploi, les services publics et financiers, le contrôle aux frontières et l’administration de la justice. Ces systèmes doivent répondre à des critères précis en matière de gestion des risques, de surveillance humaine et de robustesse technique.

  • D’autres systèmes sont considérés comme à risque limité et doivent respecter des obligations de transparence. Cela concerne les outils comme les chatbots, pour lesquels les utilisateurs doivent être informés qu’ils interagissent avec une IA, ainsi que les deepfakes, qui doivent être clairement identifiés comme étant artificiels. L’exploitation de données biométriques doit également être soumise au consentement de l’utilisateur, sauf dans certains cas prévus par la loi.

  • Enfin, les systèmes d’IA présentant un risque minimal ne sont pas concernés par des contraintes réglementaires particulières. C’est notamment le cas des jeux vidéo intégrant de l’IA ou des filtres anti-spam, qui sont considérés comme sans danger pour les droits fondamentaux et la sécurité des utilisateurs.
IA ACt Europe

Les acteurs concernés par l’IA Act

Les obligations imposées par l’IA Act concernent principalement les fournisseurs de systèmes d’IA à haut risque, qu’ils soient basés dans l’Union européenne ou à l’étranger, dès lors que leur solution est utilisée sur le marché européen. Ces fournisseurs doivent mettre en place une gouvernance des risques couvrant l’ensemble du cycle de vie de leurs systèmes, assurer la traçabilité des données utilisées pour l’entraînement et concevoir des mécanismes garantissant une surveillance humaine effective des décisions prises par l’IA. Ils doivent également veiller à la robustesse, à la cybersécurité et à la précision des résultats générés par leurs systèmes.

Pour respecter ces exigences, les fournisseurs doivent mettre en place plusieurs mesures détaillées dans les articles 8 à 17 du texte réglementaire (art. 8 – 17) :

  • Mettre en place un système de gestion des risques tout au long du cycle de vie du SIA à haut risque ;
  • Mener la gouvernance des données
  • Établir de la documentation technique
  • Concevoir leur système d’IA à haut risque pour la tenue des dossiers afin de lui permettre d’enregistrer automatiquement les événements pertinents pour identifier les risques au niveau national et les modifications substantielles tout au long du cycle de vie du système.
  • Fournir des instructions pour l’utilisation aux déployeurs en aval pour permettre la conformité de ces derniers.
  • Concevoir leur système d’IA à haut risque pour permettre aux déployeurs de mettre en œuvre la surveillance humaine.
  • Concevoir leur système d’IA à haut risque pour atteindre des niveaux appropriés de précision, de robustesse et de cybersécurité.
  • Mettre en place un système de gestion de la qualité pour assurer le respect des règles.

 

Les entreprises qui utilisent ces solutions à haut risque ont, elles aussi, des obligations. Elles doivent suivre les recommandations des fournisseurs pour garantir un usage conforme et assurer une surveillance des décisions prises par l’IA. Il leur incombe également de vérifier la pertinence des données fournies au système et de signaler immédiatement tout problème aux fournisseurs et aux autorités compétentes. Ces exigences s’appliquent aussi bien aux entreprises établies dans l’Union européenne qu’à celles situées hors de l’UE, dès lors que les résultats de l’IA sont utilisés sur le territoire européen.

L’IA à usage général sous surveillance

Les modèles d’IA généralistes, comme ceux utilisés dans les grandes plateformes d’IA générative, sont aussi encadrés par l’IA Act. Tous les fournisseurs de ces modèles doivent fournir une documentation technique détaillée, assurer la conformité aux règles de droit d’auteur et publier un résumé des données utilisées pour l’entraînement.

Lorsque ces modèles présentent un risque systémique, des obligations supplémentaires s’appliquent. Ils doivent faire l’objet d’évaluations de robustesse et de tests pour identifier d’éventuelles failles. Les incidents graves doivent être signalés aux autorités compétentes et des protocoles de cybersécurité renforcés doivent être mis en place. Pour garantir la bonne application de ces mesures, un Bureau de l’IA sera créé au sein de la Commission européenne afin de superviser le respect des règles et la mise en conformité des acteurs concernés.

Quels impacts et comment anticiper ces changements ?

L’entrée en vigueur de l’IA Act représente un tournant majeur pour les entreprises développant ou exploitant des systèmes d’intelligence artificielle. Ce cadre réglementaire impose une adaptation rapide aux nouvelles exigences en matière de gouvernance des données, de traçabilité et de surveillance des systèmes.

Chez JEMS, nous mettons également en place des solutions permettant d’assurer la traçabilité des données et de garantir la surveillance des modèles tout au long de leur cycle de vie. Grâce à notre expertise en MLOps et en gouvernance des données, nous offrons des solutions permettant d’industrialiser et de sécuriser l’usage de l’intelligence artificielle dans un cadre réglementaire strict.

L’IA Act ne doit pas être vu comme une contrainte, mais comme une opportunité d’améliorer la transparence et la robustesse des systèmes d’intelligence artificielle. Les entreprises qui anticipent ces changements auront un avantage compétitif en intégrant dès aujourd’hui des pratiques responsables et conformes aux nouvelles exigences.

Contactez nos experts pour structurer votre mise en conformité et tirer parti de cette évolution réglementaire.

Échangeons ensemble

PLUS DE RESSOURCES

IA Act méthode

AI Act 2026 : Ce qui a changé depuis janvier et comment sécuriser sa trajectoire de conformité ?

Lire l'article
PAC RADAR JEMS 2026

IA souveraine : un enjeu business, réglementaire et stratégique pour les entreprises françaises

Lire l'article
photo groupe intérieur JEMS

Index Egapro : JEMS obtient la note de 95/100 pour 2026

Lire l'article
Explorer nos actualités