Qu’est-ce que l’AI Act européen ?
L’AI Act (règlement (UE) 2024/1689) est la première loi au monde encadrant l’intelligence artificielle de manière globale. Entré en vigueur en août 2024, il s’applique par étapes. Le règlement classe les systèmes d’IA selon leur niveau de risque, des pratiques interdites aux systèmes à haut risque strictement encadrés, avec des obligations de transparence allégées pour des usages comme les chatbots.
L’approche par les risques
Le règlement encadre des usages, pas la technologie en soi. Les pratiques jugées inacceptables, comme la notation sociale par les autorités publiques, sont purement interdites. Les systèmes à haut risque sont soumis à des exigences strictes : gestion des risques, qualité des données, documentation, contrôle humain et surveillance. Ce palier inclut l’IA utilisée pour l’évaluation de solvabilité, le recrutement et les composants de sécurité de produits réglementés. Les systèmes à risque limité portent des obligations de transparence : l’utilisateur doit savoir qu’il interagit avec une IA. Les usages à risque minimal, c’est-à-dire l’immense majorité, n’emportent pas d’obligation nouvelle.
Le calendrier à retenir
Le règlement est entré en vigueur le 1er août 2024. Les interdictions et l’obligation de maîtrise de l’IA s’appliquent depuis le 2 février 2025, les obligations relatives aux modèles d’IA à usage général depuis le 2 août 2025. L’essentiel des exigences restantes, dont celles des systèmes à haut risque de l’annexe III, s’applique à partir du 2 août 2026, certaines règles pour l’IA intégrée à des produits réglementés suivant en 2027. Anticiper ces échéances coûte nettement moins cher que rattraper une conformité après coup.
Ce que les entreprises doivent faire dès maintenant
D’abord, inventorier vos systèmes d’IA et déterminer votre rôle pour chacun ; la plupart des entreprises sont des déployeurs, aux obligations plus légères que les fournisseurs. Ensuite, identifier tout usage potentiellement à haut risque, comme une IA intervenant dans le recrutement ou le crédit. Puis satisfaire les obligations déjà applicables : maîtrise de l’IA par le personnel et vérification des pratiques interdites. Enfin, demander la documentation technique à vos fournisseurs. Tout cela relève d’une gouvernance de l’IA menée tôt. L’AI Act se traite comme un programme de gouvernance, pas comme une urgence juridique.
L’AI Act s’applique-t-il aux entreprises hors UE ?
Oui, dans de nombreux cas. Comme le RGPD, il a une portée extraterritoriale : les fournisseurs qui mettent des systèmes d’IA sur le marché européen et les organisations dont les résultats d’IA sont utilisés dans l’UE entrent dans le champ, où qu’elles soient établies.
Quelles sont les sanctions ?
Le palier le plus élevé, pour les pratiques d’IA interdites, atteint 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Des paliers inférieurs s’appliquent aux autres manquements. Le coût réputationnel d’une sanction publique peut dépasser l’amende elle-même.
Si nous utilisons ChatGPT ou Claude, sommes-nous « fournisseur » ?
En principe non. Une organisation qui utilise le système d’IA d’un éditeur est un déployeur, aux obligations plus légères : usage approprié, contrôle humain, formation du personnel. Vous pouvez devenir fournisseur si vous commercialisez un système sous votre propre marque ou le modifiez substantiellement. À évaluer au cas par cas.
- Gouvernance de l’IALa gouvernance de l’IA désigne l’ensemble des politiques, rôles, processus et contrôles techniques qu’une organisation met en place pour un usage sûr, légal et responsable de l’IA. Elle définit quels outils sont approuvés, qui peut les utiliser avec quelles données, comment l’usage est supervisé, et comment les risques sont évalués avant toute mise en production.
- Shadow AILe shadow AI désigne l’utilisation d’outils d’IA dans une organisation à l’insu des équipes IT et sécurité, ou sans leur approbation. Exemples typiques : des collaborateurs qui collent des données d’entreprise dans des comptes personnels de chatbots, des extensions d’IA non vérifiées, des fonctions d’IA branchées sur des processus métiers hors de tout contrôle.
- Red teaming LLMLe red teaming LLM est le test adversarial structuré des systèmes d’IA. On attaque délibérément un modèle ou une application avec des jailbreaks, des charges d’injection de prompt, des tentatives d’extraction de données et des scénarios d’abus, afin de découvrir les failles avant les utilisateurs réels ou les attaquants.
Déployez l’IA en toute confiance
Code75 déploie l’IA en production dans les équipes des entreprises, avec les tests de sécurité et la gouvernance qui vont avec. Votre interlocuteur sera un ingénieur.