EU AI Act.

L'EU AI Act est le premier règlement mondial complet sur l'IA. Quatre niveaux de risque : inacceptable (interdit), élevé (obligations lourdes et évaluation de conformité), limité (transparence), minimal. Application progressive jusqu'en août 2027. À combiner avec ISO 42001 si vous cherchez une réponse système de management plutôt qu'une simple checklist. Les règles relatives aux modèles GPAI s'ajoutent par-dessus.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyEU regulationsAll entries

La vision de Cyber Academy

L'EU AI Act est le premier règlement mondial complet sur l'IA. Quatre niveaux de risque : inacceptable (interdit), élevé (obligations lourdes et évaluation de conformité), limité (transparence), minimal. Application progressive jusqu'en août 2027. À combiner avec ISO 42001 si vous cherchez une réponse système de management plutôt qu'une simple checklist. Les règles relatives aux modèles GPAI s'ajoutent par-dessus.

Une loi fondée sur le risque, pas une interdiction technologique

Le EU AI Act encadre l'intelligence artificielle selon ce qu'un système fait et qui il peut affecter, non selon l'algorithme qui le sous-tend. Une même technique d'apprentissage automatique peut être non réglementée dans un contexte et strictement contrôlée dans un autre.

C'est l'idée centrale des quatre niveaux de risque : les pratiques inacceptables sont purement interdites, les systèmes à haut risque portent les obligations les plus lourdes, les systèmes à risque limité doivent la transparence aux personnes qui interagissent avec eux, et les systèmes à risque minimal restent largement intacts.

La plupart des IA d'usage courant se situent dans cette bande minimale, raison pour laquelle l'Act se comprend mieux comme une réglementation ciblée des usages à conséquences plutôt que comme un régime de licence général pour toute l'IA.

L'Act est un règlement, il s'applique donc directement dans chaque État membre sans que chaque pays ait à le transposer en droit national. Sa portée est aussi extraterritoriale par esprit : les fournisseurs et déployeurs hors de l'UE entrent dans le champ d'application lorsque leur système d'IA est mis sur le marché de l'UE ou que ses sorties sont utilisées dans l'Union. Les praticiens devraient cartographier leurs systèmes par rapport aux niveaux dès le début, car la classification détermine tout ce qui suit, de la documentation à l'évaluation de la conformité.

Là où les obligations mordent réellement

La quasi-totalité du poids opérationnel retombe sur les systèmes à haut risque. Il s'agit généralement d'IA utilisée dans des produits réglementés ou dans des domaines sensibles tels que les infrastructures critiques, l'emploi, l'accès aux services essentiels, le maintien de l'ordre et l'administration de la justice.

Pour ceux-ci, l'Act attend un ensemble de disciplines opérationnelles plutôt qu'un formulaire ponctuel : un système de gestion des risques maintenu tout au long du cycle de vie, une gouvernance des données d'entraînement et de test, une documentation technique, une journalisation, la transparence et des instructions d'utilisation, une surveillance humaine permettant à une personne d'intervenir de manière significative, et un niveau approprié d'exactitude, de robustesse et de cybersécurité.

Avant qu'un système à haut risque n'atteigne le marché, il doit passer une évaluation de la conformité, et les fournisseurs assurent une surveillance après commercialisation une fois qu'il est en service.

GPAI, transparence et le calendrier progressif

Au-dessus des niveaux se trouve un régime distinct pour les modèles d'IA à usage général, les modèles de fondation qui alimentent de nombreuses applications en aval. Les fournisseurs de GPAI sont soumis à des devoirs de transparence et de documentation, avec des exigences plus strictes pour les modèles les plus capables jugés porteurs de risque systémique. Cette couche a été ajoutée précisément parce qu'un seul modèle à usage général peut se déverser dans d'innombrables usages à haut risque et à risque limité, de sorte que réglementer uniquement l'application finale laisserait une faille.

Les obligations à risque limité sont plus légères mais réelles. Elles s'articulent autour de la transparence : les personnes devraient savoir quand elles interagissent avec un système d'IA, et certains contenus synthétiques ou manipulés devraient être marqués comme générés artificiellement. L'Act entre en vigueur et s'applique par phases, les interdictions, les règles GPAI et les obligations à haut risque s'activant à des moments différents jusqu'en 2027, ce qui laisse aux organisations une marge de manœuvre mais aussi une succession d'échéances fermes à anticiper.

Comment les praticiens le rendent opérationnel

En pratique, l'Act est une liste d'obligations légales, non une méthode de management, aussi les équipes l'associent-elles à un système capable de porter ces obligations au quotidien. ISO/IEC 42001 est la réponse courante : un système de management de l'IA vous fournit les évaluations de risque, la gouvernance des données, les routines de surveillance humaine et de suivi après commercialisation que l'Act attend, conduites comme un système reproductible plutôt qu'improvisées sous la pression des délais.

Le NIST AI Risk Management Framework est souvent utilisé en parallèle comme structure volontaire pour identifier et traiter le risque lié à l'IA. Aucun d'eux ne rend à lui seul un système juridiquement conforme. Ils rendent la conformité atteignable et auditable, ce qui fait la différence entre démontrer une diligence raisonnable et espérer que personne ne pose la question.

Frequently asked questions

01Le EU AI Act s'applique-t-il aux entreprises hors de l'UE ?

Oui, c'est possible. L'Act atteint les fournisseurs et déployeurs établis hors de l'Union lorsque leur système d'IA est mis sur le marché de l'UE ou lorsque la sortie du système est utilisée à l'intérieur de l'UE. La localisation de l'entreprise n'est pas le facteur déterminant ; ce sont le marché et l'usage.

02Qu'est-ce qui rend un système à haut risque ?

Globalement, une IA utilisée comme composant de sécurité d'un produit réglementé, ou une IA utilisée dans des domaines sensibles listés par l'Act tels que les infrastructures critiques, l'emploi, l'éducation, les services essentiels, le maintien de l'ordre et la justice. La classification à haut risque déclenche l'ensemble complet des obligations et une évaluation de la conformité avant l'entrée sur le marché.

03Quel est le lien entre l'AI Act et ISO 42001 ?

L'AI Act fixe les obligations légales ; ISO/IEC 42001 vous donne un système de management certifiable pour y répondre de manière structurée. Détenir 42001 n'équivaut pas à une conformité légale, mais institutionnalise la gestion des risques, la gouvernance des données, la supervision et le suivi que l'Act attend.

04Qu'est-ce que la GPAI et pourquoi est-elle réglementée séparément ?

GPAI désigne les modèles d'IA à usage général, les modèles de fondation qui alimentent de nombreuses applications en aval. Ils obtiennent leurs propres règles de transparence et de documentation, avec des obligations supplémentaires pour les modèles les plus capables porteurs de risque systémique, car un seul modèle peut se propager dans de nombreux usages réglementés.

05Quand l'AI Act entre-t-il en application ?

Il s'applique par phases plutôt que d'un seul coup. Les pratiques interdites, les règles sur l'IA à usage général et les obligations à haut risque s'activent à des moments échelonnés après l'entrée en vigueur du règlement, donnant aux organisations le temps de se préparer mais une séquence claire d'échéances jusqu'en 2027.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.