Blog
12. juin 2026

Règlement IA : comprendre le règlement européen sur l’intelligence artificielle et engager sa mise en conformité

L’intelligence artificielle est désormais intégrée dans de nombreux usages professionnels : génération de contenus, analyse documentaire, scoring, aide à la décision, automatisation de processus, relation client, recrutement, cybersécurité, maintenance prédictive, détection de fraude, outils RH, logiciels métiers ou encore solutions d’IA générative.

Face à ces usages, l’Union européenne a adopté un cadre juridique spécifique : le règlement européen sur l’intelligence artificielle, Règlement IA (AI Act).

Ce texte marque une étape importante. Il ne vise pas à interdire l’intelligence artificielle en tant que telle, mais à encadrer son développement, sa mise sur le marché et son utilisation selon une logique de risques. Plus le système d’IA présente des risques importants pour la santé, la sécurité ou les droits fondamentaux, plus les obligations sont fortes.

Pour les organisations, l’enjeu est donc très opérationnel : identifier les systèmes d’IA utilisés ou développés, comprendre leur niveau de risque, qualifier leur rôle dans la chaîne de valeur, documenter les usages, encadrer les prestataires et intégrer l’IA dans les dispositifs de gouvernance existants.

1. Qu’est-ce que le Règlement IA ?

Le Règlement IA est le règlement européen qui établit des règles harmonisées applicables à l’intelligence artificielle dans l’Union européenne.

Il poursuit plusieurs objectifs : favoriser le développement d’une IA digne de confiance, protéger les droits fondamentaux, assurer la sécurité des personnes, créer un cadre commun au sein du marché intérieur et soutenir l’innovation.

Contrairement au RGPD, qui s’applique aux traitements de données personnelles, le Règlement IA s’applique aux systèmes d’intelligence artificielle. Les deux textes peuvent donc s’appliquer simultanément lorsqu’un système d’IA traite des données personnelles.

Le Règlement IA ne remplace pas le RGPD. Il s’y ajoute.

En pratique, une entreprise qui déploie un outil d’IA devra donc souvent raisonner sur deux plans :

  • d’une part, le respect du RGPD si des données personnelles sont traitées ;
  • d’autre part, le respect de l’IA Act si l’outil entre dans le champ du règlement sur l’intelligence artificielle.

Cette articulation est essentielle. Un système d’IA peut être conforme à certaines exigences du Règlement IA tout en soulevant des difficultés au regard du RGPD, par exemple en matière de base légale, de transparence, de minimisation ou de conservation des données.

2. Quand le Règlement IA entre-t-il en application ?

Le Règlement IA est entré en vigueur le 1er août 2024.

Son application est toutefois progressive, afin de laisser aux acteurs le temps de se préparer.

Les premières obligations concernent les pratiques d’IA interdites, applicables depuis le 2 février 2025. Ces interdictions visent les usages considérés comme présentant un risque inacceptable, par exemple certaines formes de manipulation, de notation sociale ou d’exploitation de vulnérabilités.

Depuis le 2 août 2025, certaines obligations s’appliquent notamment aux modèles d’IA à usage général, c’est-à-dire aux modèles pouvant servir à de nombreux usages différents, comme certains grands modèles de langage.

L’application générale du règlement intervient à partir du 2 août 2026.

Certaines obligations, notamment relatives à certains systèmes d’IA à haut risque, s’appliqueront à partir du 2 août 2027.

Pour les organisations, ce calendrier progressif ne doit pas conduire à attendre. La mise en conformité suppose un travail d’inventaire, de qualification, de documentation, de contractualisation et de gouvernance qui doit être anticipé.

3. Qui est concerné par le Règlement IA ?

Le Règlement IA concerne une grande variété d’acteurs, publics comme privés.

Sont notamment concernés les fournisseurs de systèmes d’IA, c’est-à-dire les acteurs qui développent ou font développer un système d’IA et le mettent sur le marché ou le mettent en service sous leur nom ou leur marque.

Sont également concernés les déployeurs, c’est-à-dire les organisations qui utilisent un système d’IA dans un cadre professionnel. Une entreprise qui utilise un outil d’IA pour ses processus RH, son service client, son activité commerciale, son analyse documentaire ou sa cybersécurité peut donc être concernée, même si elle n’a pas développé elle-même le système.

Le règlement concerne aussi les importateurs, distributeurs, mandataires, fabricants intégrant un système d’IA dans un produit, ainsi que les fournisseurs de modèles d’IA à usage général.

Le critère déterminant n’est donc pas uniquement le fait de créer une IA. Une organisation peut être concernée parce qu’elle utilise, intègre, commercialise, distribue ou met à disposition un système d’IA.

Le Règlement IA a également une portée extraterritoriale. Il peut s’appliquer à des acteurs établis en dehors de l’Union européenne lorsque le système d’IA est mis sur le marché ou mis en service dans l’Union, ou lorsque les résultats produits par le système sont utilisés dans l’Union.

En pratique, de nombreuses entreprises européennes seront concernées non seulement par leurs propres développements IA, mais aussi par les outils IA qu’elles achètent, testent ou intègrent dans leurs processus internes.

4. Quels systèmes d’IA sont concernés ?

Le Règlement IA s’applique aux systèmes d’intelligence artificielle répondant à la définition du règlement.

Un système d’IA est, en substance, un système automatisé conçu pour fonctionner avec différents niveaux d’autonomie, pouvant faire preuve d’une capacité d’adaptation après son déploiement, et générant, pour des objectifs explicites ou implicites, des sorties telles que des prédictions, recommandations, contenus ou décisions influençant des environnements physiques ou virtuels.

Cette définition est large. Elle peut couvrir des outils de scoring, de recommandation, de classification, de reconnaissance d’images, de génération de texte, d’analyse prédictive, de traitement automatique du langage, de détection d’anomalies, d’aide à la décision ou encore d’IA générative.

Toutefois, tous les systèmes automatisés ne sont pas nécessairement des systèmes d’IA au sens du règlement. Une analyse de qualification est donc nécessaire, notamment pour distinguer un simple logiciel déterministe, un outil statistique classique, une automatisation métier et un véritable système d’IA.

Cette qualification est la première étape de conformité.

5. Le principe central : une approche par les risques

Le Règlement IA repose sur une logique de classification des risques.

Le règlement distingue principalement quatre catégories :

  • les pratiques d’IA interdites, considérées comme présentant un risque inacceptable ;
  • les systèmes d’IA à haut risque, soumis à des obligations renforcées ;
  • certains systèmes soumis à des obligations spécifiques de transparence ;
  • les autres systèmes d’IA, pour lesquels les obligations sont plus limitées, sans préjudice des autres textes applicables.

Cette approche est très opérationnelle. La première question à poser n’est donc pas seulement : « utilisons-nous de l’IA ? », mais : « quel est le niveau de risque du système utilisé ? »

Un chatbot d’assistance interne, un outil d’aide au recrutement, un logiciel d’analyse médicale, une solution de scoring de crédit, un système de vidéosurveillance intelligente ou un générateur de contenus ne seront pas soumis au même niveau d’obligations. Le niveau de risque dépend de l’usage, du secteur, des personnes concernées, des conséquences possibles, du degré d’autonomie du système et du rôle joué par l’IA dans la décision ou le processus.

6. Les pratiques d’IA interdites

Le Règlement IA interdit certaines pratiques considérées comme incompatibles avec les valeurs de l’Union européenne ou présentant un risque inacceptable.

Ces interdictions visent notamment certaines formes de manipulation subliminale ou trompeuse, l’exploitation de vulnérabilités liées à l’âge, au handicap ou à une situation sociale ou économique particulière, certaines formes de notation sociale, certaines pratiques de police prédictive fondées uniquement sur le profilage, ou encore certains usages de catégorisation biométrique.

Certaines règles spécifiques concernent également l’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives, avec des exceptions strictement encadrées.

Pour les entreprises, ces interdictions peuvent sembler éloignées de certains usages courants. Mais elles doivent néanmoins être intégrées dans les politiques internes, notamment lorsqu’une organisation explore des usages d’IA dans les domaines RH, sécurité, surveillance, scoring, comportement utilisateur ou analyse émotionnelle.

Le bon réflexe consiste à prévoir une revue préalable des cas d’usage afin d’écarter immédiatement tout usage interdit.

7. Les systèmes d’IA à haut risque

La catégorie des systèmes d’IA à haut risque est au cœur du Règlement IA.

Un système peut être qualifié de haut risque notamment lorsqu’il est utilisé dans certains secteurs ou pour certains usages sensibles : emploi, gestion des travailleurs, accès à l’éducation, formation professionnelle, accès à des services essentiels, crédit, assurance, santé, biométrie, justice, maintien de l’ordre, migration, infrastructures critiques ou sécurité de produits réglementés.

Cette qualification entraîne des obligations renforcées.

Les fournisseurs de systèmes à haut risque doivent notamment mettre en place un système de gestion des risques, assurer une gouvernance des données, produire une documentation technique, garantir la traçabilité, informer les déployeurs, permettre une supervision humaine, assurer un niveau approprié d’exactitude, de robustesse et de cybersécurité, et organiser des procédures d’évaluation de conformité.

Les déployeurs de systèmes à haut risque ont également des obligations, notamment utiliser le système conformément aux instructions, assurer une supervision humaine, surveiller le fonctionnement du système, conserver certains logs lorsque cela relève de leur contrôle, informer certaines personnes concernées, et réaliser dans certains cas une analyse d’impact sur les droits fondamentaux.

Pour les organisations, la qualification de haut risque est donc un point de bascule. Elle implique une conformité structurée, documentée et suivie dans le temps.

8. Les obligations de transparence

Le Règlement IA prévoit également des obligations de transparence pour certains systèmes d’IA.

Ces obligations peuvent concerner, par exemple, les systèmes destinés à interagir directement avec des personnes physiques, les systèmes générant ou manipulant des contenus, ou certains systèmes de reconnaissance des émotions ou de catégorisation biométrique.

En pratique, une personne peut devoir être informée lorsqu’elle interagit avec un système d’IA, sauf si cela ressort clairement du contexte. Des obligations spécifiques peuvent également s’appliquer aux contenus générés ou manipulés artificiellement (deepfake), notamment afin de lutter contre les risques de confusion ou de désinformation.

Pour les entreprises, ces obligations doivent être traduites dans les interfaces, les parcours utilisateurs, les notices, les conditions d’utilisation, les politiques internes et la documentation client.

La transparence ne doit pas être pensée uniquement comme une clause juridique. Elle doit être intégrée à l’expérience utilisateur.

9. Les modèles d’IA à usage général

Le Règlement IA encadre également les modèles d’IA à usage général, souvent appelés GPAI, pour general-purpose AI.

Il s’agit de modèles capables d’être utilisés pour une large variété de tâches et intégrés dans de nombreux systèmes ou services. Certains grands modèles de langage entrent dans cette catégorie.

Les fournisseurs de ces modèles doivent respecter des obligations spécifiques, notamment en matière de documentation technique, d’information des acteurs qui intègrent le modèle dans leurs propres systèmes, de respect du droit d’auteur et, pour les modèles présentant des risques systémiques, d’évaluation, de gestion des risques, de cybersécurité et de déclaration d’incidents graves.

Pour une entreprise utilisatrice, l’enjeu est de bien distinguer son rôle. Elle peut être simple utilisatrice d’un outil d’IA générative, intégratrice d’un modèle dans son propre produit, fournisseur d’un système d’IA reposant sur un modèle tiers, ou encore fournisseur elle-même d’un modèle.

Chaque rôle emporte des responsabilités différentes.

10. Les grands principes à retenir

Même si le Règlement IA est construit autour de catégories juridiques précises, plusieurs grands principes structurent le texte.

Le premier est la sécurité. Les systèmes d’IA doivent être conçus, mis sur le marché et utilisés de manière à limiter les risques pour la santé, la sécurité et les droits fondamentaux.

Le deuxième est la transparence. Les utilisateurs, les déployeurs et, dans certains cas, les personnes concernées doivent comprendre qu’un système d’IA est utilisé, dans quel contexte et avec quelles limites.

Le troisième est la supervision humaine. Les systèmes à risque ne doivent pas fonctionner comme des boîtes noires totalement autonomes lorsque leurs résultats peuvent produire des effets importants. L’intervention humaine doit être pensée, organisée et effective.

Le quatrième est la traçabilité. Les décisions, sorties, logs, paramètres, données et incidents doivent pouvoir être documentés lorsque cela est nécessaire.

Le cinquième est la qualité des données. Pour les systèmes à haut risque, les données utilisées doivent faire l’objet d’une attention particulière afin de limiter les erreurs, biais et effets discriminatoires.

Le sixième est la responsabilité. Les acteurs doivent être capables de démontrer leur conformité, chacun selon son rôle dans la chaîne de valeur de l’IA.

Ces principes rejoignent, sur plusieurs points, les exigences du RGPD : documentation, proportionnalité, sécurité, transparence, gouvernance et maîtrise des risques.

Si vous avez des questions ou rencontrez une problématique liée à l'intelligence artificielle, vous pouvez prendre rendez-vous avec le cabinet afin d’identifier les points de vigilance et les actions concrètes à mettre en place.

Retour

©Elise HAUSHERR. Tous droits réservés.

Information icon

Nous avons besoin de votre consentement pour charger les traductions

Nous utilisons un service tiers pour traduire le contenu du site web qui peut collecter des données sur votre activité. Veuillez consulter les détails dans la politique de confidentialité et accepter le service pour voir les traductions.