L’IA Act : de quoi parle-t-on vraiment ?

30/04/2026 - Article par Emilie EHINGER

Introduction

L’IA Act (ou Règlement européen sur l’intelligence artificielle) est la toute première loi majeure au monde visant à encadrer l’IA de manière globale. Adopté en 2024 et pleinement opérationnel en 2026, son objectif est simple mais ambitieux : s'assurer que les systèmes d'IA utilisés en Europe sont sûrs, transparents et respectent les droits fondamentaux. L'Europe a choisi une approche par les risques : plus le risque pour les libertés individuelles est élevé, plus les contraintes juridiques pour les développeurs et les utilisateurs professionnels sont lourdes.

Ce texte repose sur un principe d'extra-territorialité : il s'applique à toute entreprise, qu'elle soit basée aux États-Unis, en Chine ou ailleurs, dès lors que son système d'IA est mis à disposition sur le marché de l'Union européenne.

La pyramide des risques

Le cœur de la loi a classé les IA en quatre catégories suivant les risques.

Les risques inacceptables

Elle distingue les risques inacceptables qui sont donc interdits par nature (systèmes qui manipulent le comportement humain ou la reconnaissance faciale en temps réel dans la rue (sauf exceptions graves). Est également interdite l'IA utilisée pour l'analyse des émotions sur le lieu de travail ou dans les établissements d'enseignement.

Les hauts-risques

Elle distingue aussi celle à haut risque utilisées dans des secteurs critiques comme la médecin, l’éducation, la justice, … Elles doivent subir des tests très stricts avant d'être mises sur le marché. Leurs concepteurs ont l'obligation de mettre en place un système de gestion des risques sur tout le cycle de vie de l'IA, de garantir une haute qualité des jeux de données pour éviter les biais, et de fournir une documentation technique permettant aux autorités de comprendre le fonctionnement interne de l'algorithme.

Risques de transparence

Elles distinguent également celle avec un risque de transparence comme les chatbots (types ChatGPT) ou les générateurs d’images : l’utilisateur doit être conscient qu’il parle à une machine et que les contenus qu’elle génère peuvent être faux. Les contenus générés doivent être marqués (watermarking) pour signaler qu'ils sont artificiels. Pour les IA génératives, le règlement impose également de publier un résumé des données protégées par le droit d'auteur utilisées pour l'entraînement t de s'assurer que le modèle respecte la législation européenne sur le copyright, même si l'entraînement a eu lieu hors d'Europe.

Risques faibles / minimes

Enfin, les filtres anti-spam ou les jeux vidéos présentent un risque faible / minime et ne nécessitent donc aucune règlementation spécifique, le législateur ayant privilégié le principe d'innovation pour ces systèmes inoffensifs. Toutefois, la loi encourage les fournisseurs de ces systèmes à adopter volontairement des codes de conduite éthiques.

IA Acte et RGPD : leur articulation

Une complémentarité

Comme pour le RGPD, toute entreprise qui veut proposer ses services en Europe doit respecter l’IA Act afin de s’aligner aux standards.

L’IA Act complète ainsi le RGPD. Il s’agit de protéger les données mais aussi désormais de s’assurer que l’algorithme qui les traite et ne prend pas de décisions discriminatoires oui biaisées. Là où le RGPD protège la vie privée, l'IA Act protège la sécurité et la fiabilité du traitement algorithmique.

Concrètement, si une IA de recrutement rejette systématiquement des CV de femmes, elle viole l'IA Act pour défaut de qualité des données (Art. 10) et le RGPD pour traitement illicite de données sensibles (Art. 9).

Des sanctions plus lourdes

En cas de violation des règles sur les IA interdites, les amendes peuvent grimper jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial.

• À titre de comparaison, le plafond du RGPD est limité à 20 millions d'euros ou 4 % du chiffre d'affaires.

Ces sanctions sont graduées : elles tombent à 3 % du chiffre d'affaires pour le non-respect des obligations liées au haut risque, et à 1,5 % pour la fourniture d'informations inexactes aux autorités.

L’office européen (« IA Office »)

Un organisme de surveillance

Pour faire respecter tout cela, l'Union européenne a créé un "gendarme de l'IA" basé à Bruxelles. Il surveille particulièrement les modèles d'IA à usage général (les modèles très puissants qui servent de base à de nombreuses applications) pour s'assurer qu'ils ne présentent pas de risques systémiques. Ce bureau a le pouvoir d'exiger des tests de sécurité, d'imposer des mesures correctives et de mener des enquêtes auprès des plus grands acteurs mondiaux de l'IA.

Une collaboration avec la CNIL

Ce nouvel organe travaille en étroite collaboration avec les autorités nationales (comme la CNIL en France) pour coordonner les enquêtes et les sanctions à l'échelle du continent.

En 2026, l'enjeu majeur de cet Office est de s'assurer que les modèles "Open Source" respectent eux aussi les obligations de transparence sans pour autant brider la recherche scientifique.

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus