IA Act : le guide complet du règlement européen sur l'intelligence artificielle

L'IA Act (règlement UE 2024/1689 du 13 juin 2024) est la première législation globale au monde sur l'intelligence artificielle. Entré en vigueur le 1ᵉʳ août 2024, il pose un cadre juridique unique pour le développement, la mise sur le marché et l'utilisation des systèmes d'IA dans l'Union européenne. Sa logique : protéger les droits fondamentaux et soutenir l'innovation, avec une approche fondée sur les risques classant les systèmes d'IA en 4 catégories. Ce guide vous donne une vision d'ensemble du règlement et vous oriente vers les analyses approfondies de chacun de ses aspects.

L'essentiel en 30 secondes

• Texte : règlement (UE) 2024/1689, dit IA Act
• Entrée en vigueur : 1ᵉʳ août 2024
• Première application : 2 février 2025 (pratiques interdites + définition)
• Plein régime : 2 août 2026 (la majorité des dispositions)
• Sanctions maximales : 35 M€ ou 7 % du chiffre d'affaires mondial
• Portée : tous les acteurs mettant une IA sur le marché européen
• Philosophie : approche fondée sur les risques + 7 principes éthiques

Sommaire du guide

1. Objectifs et principes du règlement européen sur l'IA
2. La définition légale d'un système d'IA (article 3)
3. Les 4 niveaux de risque et leur régime juridique
4. Les 8 pratiques d'IA interdites (article 5)
5. Les acteurs de la chaîne de valeur : fournisseur, déployeur et autres rôles
6. Sanctions et gouvernance : qui contrôle, qui punit ?
7. Innovation et soutien aux PME : le volet positif du règlement

Qu'est-ce que l'IA Act ? Vue d'ensemble

L'IA Act est le surnom donné au règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle. Publié au Journal officiel de l'Union européenne le 12 juillet 2024, il est entré en vigueur le 1ᵉʳ août 2024.

Sa singularité tient à trois caractéristiques :

• C'est la première loi globale au monde sur l'IA. D'autres juridictions (États-Unis, Royaume-Uni, Canada) ont adopté des approches sectorielles ou des principes non contraignants ; l'UE est la première à imposer un cadre horizontal et juridiquement contraignant.
• C'est un règlement et non une directive. Il est donc directement applicable dans les 27 États membres sans nécessiter de transposition nationale.
• Sa portée est extraterritoriale, comparable à celle du RGPD. Il s'applique à tout fournisseur ou déployeur dont le système ou les sorties sont utilisés dans l'Union, quelle que soit la localisation du siège.

L'IA Act repose sur une approche proportionnée aux risques : plus le risque qu'un système fait peser sur les droits fondamentaux est élevé, plus la régulation est stricte. Il s'articule autour de 7 grandes thématiques que ce guide explore en détail. Voici une synthèse de chacune, accompagnée d'un lien vers l'analyse approfondie correspondante.

1. Objectifs et principes : la vision européenne d'une IA digne de confiance

L'IA Act n'est pas un texte technique neutre. Il porte une vision politique et éthique explicite : faire émerger une IA axée sur l'humain, qui respecte les droits fondamentaux tout en stimulant l'innovation européenne.

Le règlement poursuit une double ambition parfois perçue comme contradictoire :

• protéger la santé, la sécurité, les droits fondamentaux, la démocratie et l'environnement contre les effets néfastes de l'IA ;
• soutenir l'innovation, en particulier pour les PME et les start-up, et faire de l'UE un acteur mondial de premier plan dans l'IA digne de confiance.

Au cœur du texte se trouvent les 7 principes éthiques issus des travaux du Groupe d'experts de haut niveau sur l'IA (GEHN IA) constitué par la Commission européenne :

1. Action humaine et contrôle humain
2. Robustesse technique et sécurité
3. Respect de la vie privée et gouvernance des données
4. Transparence
5. Diversité, non-discrimination et équité
6. Bien-être sociétal et environnemental
7. Responsabilité (accountability)

Bien que non contraignants juridiquement, ces principes servent de grille d'interprétation pour l'ensemble des obligations du règlement et constituent la boussole éthique de la régulation européenne de l'IA.

👉 Pour aller plus loin : IA Act : objectifs et principes du règlement européen sur l'IA

2. La définition légale d'un système d'IA : le garde-barrière du règlement

Avant même de se demander si un outil est risqué ou conforme, il faut répondre à une question préalable décisive : est-ce un système d'IA au sens du règlement ? La réponse détermine si le texte s'applique ou non.

L'article 3, point 1) définit un système d'IA comme un système automatisé qui :

• fonctionne à différents niveaux d'autonomie ;
• peut faire preuve d'une capacité d'adaptation après déploiement (facultatif) ;
• déduit, à partir d'entrées, comment générer des sorties (prédictions, contenu, recommandations, décisions) ;
• ces sorties peuvent influencer les environnements physiques ou virtuels.

La Commission européenne a publié le 29 juillet 2025 des lignes directrices officielles (C(2025) 5053) décomposant cette définition en 7 éléments cumulatifs : système automatisé, autonomie, capacité d'adaptation, objectifs explicites ou implicites, capacité d'inférence, génération de sorties, influence sur l'environnement.

Le critère décisif est la capacité d'inférence : c'est ce qui distingue un système d'IA d'un logiciel traditionnel à règles fixes. Sont ainsi exclus du champ du règlement :

• les logiciels traditionnels fondés uniquement sur des règles « Si-Alors » humaines ;
• les tableurs et outils de tri/filtrage de bases de données ;
• l'optimisation mathématique classique sans apprentissage ouvert.

Cette qualification doit être conduite système par système, sur la base de son architecture et de ses fonctionnalités spécifiques. C'est la première étape obligatoire de toute démarche de conformité.

👉 Pour aller plus loin : Système d'IA : la définition légale qui déclenche l'IA Act (article 3)

3. Les 4 niveaux de risque : la pyramide réglementaire

Une fois qu'un outil est qualifié de système d'IA, il faut le classer dans l'une des 4 catégories de risque définies par le règlement. Cette classification est la pierre angulaire de l'IA Act : elle détermine quelles obligations s'appliquent.

À cette pyramide s'ajoute un régime transversal pour les modèles d'IA à usage général (GPAI) comme les grands modèles de langage, avec des obligations renforcées pour ceux présentant un risque systémique (seuil initial fixé à 10²⁵ opérations en virgule flottante).

L'écrasante majorité des systèmes d'IA en circulation (filtres anti-spam, IA dans les jeux, traduction automatique grand public, recommandation de contenu) relèvent du risque minimal et ne sont soumis à aucune obligation au titre du règlement. La régulation se concentre sur les systèmes qui peuvent réellement porter atteinte aux droits ou à la sécurité.

Classer correctement son système est crucial : une sur-classification entraîne des coûts de conformité disproportionnés ; une sous-classification expose à des sanctions financières lourdes et à une obligation de retrait du marché.

👉 Pour aller plus loin : Niveaux de risque IA Act : les 4 catégories et leur régime juridique

4. Les 8 pratiques interdites : ce que vous ne pouvez plus faire

Au sommet de la pyramide, certaines pratiques sont purement et simplement interdites depuis le 2 février 2025. Elles constituent la « liste noire » de l'IA Act, fixée à l'article 5.

Ces 8 interdictions visent les systèmes considérés comme incompatibles avec les valeurs de l'Union :

1. Manipulation cognitive par techniques subliminales ou trompeuses
2. Exploitation des vulnérabilités liées à l'âge, au handicap ou à une situation socio-économique
3. Notation sociale (social scoring) à effet préjudiciable
4. Prédiction policière individuelle fondée sur le profilage
5. Moissonnage non ciblé d'images faciales (type Clearview AI)
6. Reconnaissance des émotions au travail et dans les établissements scolaires
7. Catégorisation biométrique pour déduire race, opinions politiques, religion, orientation sexuelle
8. Identification biométrique à distance en temps réel dans l'espace public à des fins répressives (sauf 3 dérogations strictement encadrées)

Pour aider à l'interprétation de ces interdictions, la Commission européenne a publié des lignes directrices détaillées (C(2025) 118657) qui font autorité pour l'application uniforme dans les 27 États membres.

La violation de l'article 5 constitue l'infraction la plus grave du règlement, sanctionnée par une amende pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial — le montant le plus élevé étant retenu.

👉 Pour aller plus loin : Article 5 de l'IA Act : les 8 pratiques d'IA interdites en Europe

5. Les acteurs de la chaîne de valeur : qui fait quoi ?

L'IA Act n'impose pas les mêmes obligations à tous. Il répartit les responsabilités entre cinq rôles définis à l'article 3, tous regroupés sous le terme générique d'« opérateur » :

• Fournisseur (provider) : développe et met sur le marché — pivot de la conformité
• Déployeur (deployer) : utilise sous sa propre autorité dans un cadre professionnel
• Mandataire : représente un fournisseur non-UE
• Importateur : met sur le marché un système provenant d'un pays tiers
• Distributeur : met le système à disposition dans la chaîne d'approvisionnement

Le fournisseur porte les obligations les plus lourdes : gestion des risques, gouvernance des données, documentation technique, transparence, contrôle humain, robustesse, marquage CE, surveillance après commercialisation.

Mais attention au piège de l'article 25 : un distributeur, un importateur ou même un déployeur peut être requalifié en fournisseur dans trois situations :

1. S'il commercialise sous son propre nom ou marque un système d'IA à haut risque déjà sur le marché.
2. S'il apporte une modification substantielle à un système d'IA à haut risque.
3. S'il modifie la destination d'un système d'IA (y compris un GPAI) de sorte qu'il devient à haut risque.

Cette requalification implique d'endosser l'intégralité des obligations du fournisseur — y compris l'évaluation de conformité et le marquage CE. Pour les entreprises qui intègrent, personnalisent ou rebrandent des solutions d'IA tierces, c'est probablement le risque juridique le plus sous-estimé du règlement.

👉 Pour aller plus loin : Acteurs de l'IA Act : fournisseur, déployeur et autres rôles dans la chaîne de valeur

6. Sanctions et gouvernance : qui contrôle, qui punit ?

L'IA Act prévoit l'un des régimes de sanctions les plus sévères jamais conçus en droit numérique européen. L'article 99 définit trois paliers d'amendes administratives :

Pour les PME et start-up, le règlement adoucit le régime : c'est le montant le plus faible des deux critères qui s'applique (et non le plus élevé comme pour les grandes entreprises).

La mise en œuvre repose sur une gouvernance à deux étages :

• Au niveau européen : le Bureau de l'IA (AI Office, créé en janvier 2024) coordonne la politique IA et surveille les modèles GPAI ; le Comité IA rassemble les représentants des États membres ; le Groupe scientifique d'experts alerte sur les risques systémiques ; le Forum consultatif intègre les parties prenantes.
• Au niveau national : chaque État membre désigne au moins une autorité de surveillance du marché et une autorité notifiante. Le CEPD (Contrôleur européen de la protection des données) supervise les institutions de l'UE.

Le régime de sanctions est applicable depuis le 2 août 2025. Les autorités disposent de pouvoirs étendus : inspections inopinées, accès à la documentation et aux jeux de données d'entraînement, mesures correctives, retrait du marché.

👉 Pour aller plus loin : Sanctions IA Act : amendes et régime de gouvernance européen

7. Innovation et soutien aux PME : le volet positif du règlement

Contrairement à une idée reçue, l'IA Act n'est pas qu'un texte de contraintes. Il consacre tout un chapitre VI (articles 57 à 63) aux mesures de soutien à l'innovation, articulé autour de quatre piliers :

1. Les AI Factories — Modification du règlement EuroHPC pour créer des guichets uniques d'accès aux supercalculateurs européens, accompagnés de services de gestion de données, de conseil juridique et de soutien technique. En France, l'AI Factory France est pilotée par GENCI et s'appuiera sur le supercalculateur exascale Alice Recoque.

2. Les bacs à sable réglementaires (article 57) — Obligatoires dans chaque État membre au plus tard le 2 août 2026. Ils offrent un environnement contrôlé pour développer et tester un système d'IA innovant sous supervision des autorités, avec :

• gratuité pour les PME et start-up ;
• immunité partielle contre les amendes en cas de violation involontaire ;
• preuve écrite et rapport de sortie utilisables pour accélérer ensuite la procédure d'évaluation de conformité ;
• possibilité, dans certains cas, de traiter des données personnelles pour des intérêts publics majeurs (santé, environnement, transition énergétique).

3. Les essais en conditions réelles (articles 60 et 61) — Cadre sécurisé pour tester un système d'IA à haut risque avec de vrais utilisateurs avant sa mise sur le marché. Durée maximale de 6 mois (prolongeable une fois). Le consentement éclairé des participants est requis, avec droit de retrait à tout moment sans préjudice.

4. Mesures spécifiques PME et start-up (article 62) — Accès prioritaire aux bacs à sable, frais d'évaluation de conformité réduits proportionnellement à la taille, documentation technique simplifiée, plateforme d'information unique fournie par le Bureau de l'IA, activités de sensibilisation et formation.

S'ajoutent les initiatives écosystémiques : Pacte sur l'IA (engagement volontaire anticipé), financements Horizon Europe et programme Europe numérique (~4 milliards d'euros mobilisés d'ici 2027), pôles européens d'innovation numérique (EDIH).

👉 Pour aller plus loin : IA Act et innovation : bacs à sable, AI Factories et soutien à l'innovation

Le calendrier d'application : les dates clés à retenir

L'IA Act ne s'applique pas en une seule fois : son entrée en vigueur est progressive sur trois ans, pour laisser aux acteurs le temps de s'adapter.

Pour les entreprises, l'horizon clé est désormais 2 août 2026 : c'est à cette date que la majorité des dispositions sur les systèmes à haut risque, la transparence et la gouvernance deviennent pleinement applicables.

Par où commencer ? Parcours de lecture recommandé

Selon votre profil, voici les ordres de lecture les plus efficaces dans cette série.

🧑‍💼 Pour un dirigeant ou décideur qui veut comprendre les enjeux globaux :

1. Objectifs et principes
2. Niveaux de risque
3. Sanctions et gouvernance

⚖️ Pour un juriste ou un DPO qui prépare la conformité :

1. Définition d'un système d'IA
2. Acteurs de la chaîne de valeur
3. Niveaux de risque
4. Pratiques interdites

🚀 Pour un fondateur de start-up ou un innovateur qui veut développer dans le cadre :

1. Innovation et soutien aux PME
2. Définition d'un système d'IA
3. Niveaux de risque

🛠️ Pour un développeur ou un CTO qui intègre des systèmes d'IA :

1. Définition d'un système d'IA
2. Acteurs de la chaîne de valeur (attention au piège de l'article 25)
3. Pratiques interdites

La suite : ce que vous trouverez prochainement dans cette série

Ce guide n'est qu'le début. Les 7 articles publiés couvrent les fondations transversales du règlement. Dans les semaines et mois à venir, nous compléterons cette série avec des analyses ciblées sur :

• Les systèmes d'IA à haut risque en détail : article 6, annexe III, exigences de conformité articles 8 à 17, évaluation de conformité, marquage CE.
• Les modèles d'IA à usage général (GPAI) : régime de l'article 53, code de bonnes pratiques, obligations des modèles à risque systémique (article 55).
• Les obligations de transparence : article 50, hypertrucages (deepfakes), chatbots, étiquetage des contenus générés.
• Les applications sectorielles : IA et recrutement, IA et santé, IA et secteur financier, IA et secteur public, IA et éducation.
• Les outils opérationnels : checklist de conformité, méthodologie d'audit, analyse d'impact sur les droits fondamentaux (article 27), modèles de documentation technique.

Pour ne rien manquer, retournez sur cette page régulièrement : elle restera le point d'entrée principal et sera mise à jour à chaque nouvelle publication.

Conclusion : la conformité IA, un projet stratégique d'entreprise

L'IA Act n'est pas un simple texte juridique de plus. C'est une redéfinition profonde des règles du jeu pour toute organisation qui développe, intègre ou utilise des systèmes d'intelligence artificielle en Europe — et au-delà, par effet d'extraterritorialité.

Pour les acteurs concernés, la conformité IA est désormais un projet stratégique qui mobilise plusieurs métiers : direction générale, juridique, technique, RH, achats, communication. Elle exige une démarche structurée :

1. Cartographier ses systèmes d'IA et qualifier juridiquement chacun d'eux.
2. Classifier les risques associés et identifier les obligations applicables.
3. Documenter la démarche pour démontrer sa diligence en cas de contrôle.
4. Mobiliser les dispositifs de soutien (bacs à sable, AI Factories, Pacte sur l'IA) pour transformer la contrainte en opportunité.
5. Surveiller les évolutions du règlement, des lignes directrices et de la jurisprudence.

Ce guide et ses 7 articles vous donnent les fondations conceptuelles nécessaires pour entamer cette démarche. Pour les questions opérationnelles spécifiques à votre secteur ou à votre cas d'usage, n'hésitez pas à nous solliciter.

FAQ – L'IA Act en 6 questions essentielles

Qu'est-ce que l'IA Act en une phrase ? L'IA Act (règlement UE 2024/1689) est la première loi globale au monde qui encadre le développement, la mise sur le marché et l'utilisation des systèmes d'intelligence artificielle, selon une approche proportionnée au niveau de risque que chaque système fait peser sur les droits fondamentaux et la sécurité.

Quand l'IA Act entre-t-il en application ? Le règlement est entré en vigueur le 1ᵉʳ août 2024, mais son application est progressive : pratiques interdites depuis le 2 février 2025, sanctions et obligations GPAI depuis le 2 août 2025, application générale au 2 août 2026, et systèmes à haut risque intégrés aux produits réglementés au 2 août 2027.

Mon entreprise est-elle concernée par l'IA Act ? Si vous développez, importez, distribuez ou utilisez un système d'IA à des fins professionnelles dans l'Union européenne, oui — quelle que soit la localisation de votre siège. Seuls les usages strictement personnels et non professionnels sont exclus. La portée du règlement est extraterritoriale, comparable à celle du RGPD.

Quelles sont les sanctions encourues ? Trois paliers d'amendes : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites de l'article 5 ; jusqu'à 15 M€ ou 3 % pour les autres manquements ; jusqu'à 7,5 M€ ou 1 % pour la fourniture d'informations inexactes. Pour les PME et start-up, c'est le montant le plus faible des deux critères qui s'applique.

Mon outil interne est-il un système d'IA au sens du règlement ? Cela dépend. La définition légale (article 3) repose sur 7 critères cumulatifs, dont le plus important est la capacité d'inférence. Un tableur, un logiciel à règles fixes ou une simple optimisation mathématique ne sont pas des systèmes d'IA. En revanche, tout outil capable d'apprendre, de raisonner ou de modéliser à partir de données entre dans le champ du règlement. Une analyse au cas par cas s'impose.

Comment se préparer concrètement ? Quatre étapes : (1) cartographier vos systèmes d'IA, (2) qualifier chacun au regard de la définition de l'article 3, (3) classifier son niveau de risque (interdit, haut risque, transparence, minimal), (4) mettre en place les obligations correspondantes. Pour les start-up et PME, candidater à un bac à sable réglementaire dès qu'il est opérationnel dans votre État membre peut sécuriser juridiquement votre démarche.

Sources officielles

• Règlement (UE) 2024/1689 — texte intégral sur EUR-Lex
• Lignes directrices de la Commission sur la définition d'un système d'IA (C(2025) 5053)
• Lignes directrices de la Commission sur les pratiques interdites (C(2025) 118657)
• Bureau européen de l'intelligence artificielle (AI Office)
• Pacte sur l'IA (AI Pact)
• Charte des droits fondamentaux de l'Union européenne

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus