L’AI Act (Artificial Intelligence Act) est le premier cadre juridique complet au monde dédié à la régulation de l’intelligence artificielle. Adopté par l’Union européenne en mars 2024, ce règlement classe les systèmes d’IA par niveau de risque et impose des obligations proportionnelles aux développeurs et utilisateurs. Ce guide décrypte l’ensemble du texte et ses implications concrètes.

Qu’est-ce que l’AI Act ?

Définition : L’AI Act est un règlement européen qui établit des règles harmonisées pour le développement, la mise sur le marché et l’utilisation des systèmes d’intelligence artificielle dans l’Union européenne. Il s’applique à tout fournisseur ou déployeur de systèmes d’IA opérant sur le marché européen, quelle que soit sa localisation géographique — un principe d’extraterritorialité similaire au RGPD.

Calendrier d’application de l’AI Act (2024-2027)

L’AI Act entre en vigueur de manière progressive :

  • Août 2024 — Entrée en vigueur du règlement (20 jours après publication au JOUE)
  • Février 2025 — Interdiction des pratiques d’IA à risque inacceptable (scoring social, manipulation subliminale, etc.)
  • Août 2025 — Obligations pour les modèles d’IA à usage général (GPAI) dont les grands modèles de langage
  • Août 2026 — Application complète pour les systèmes d’IA à haut risque
  • Août 2027 — Application aux systèmes d’IA intégrés dans des produits réglementés (dispositifs médicaux, etc.)

Classification des risques : les 4 niveaux de l’AI Act

Risque inacceptable : les IA interdites

Certaines utilisations de l’IA sont purement et simplement interdites dans l’UE. Parmi elles : les systèmes de scoring social à la chinoise, la manipulation comportementale subliminale, l’exploitation de vulnérabilités liées à l’âge ou au handicap, la reconnaissance faciale en temps réel dans l’espace public (sauf exceptions sécuritaires strictement encadrées), et la catégorisation biométrique basée sur des caractéristiques sensibles.

Haut risque : les obligations renforcées

Les systèmes d’IA à haut risque concernent des domaines critiques : recrutement et gestion RH, éducation, accès au crédit, justice, migration, infrastructures critiques et dispositifs médicaux. Ces systèmes doivent respecter des obligations strictes : évaluation de conformité, documentation technique, système de gestion des risques, données d’entraînement de qualité, traçabilité, supervision humaine et cybersécurité.

Risque limité : les obligations de transparence

Les chatbots, les systèmes de génération de contenu (texte, image, audio, vidéo) et les systèmes de reconnaissance d’émotions doivent informer clairement l’utilisateur qu’il interagit avec une IA. Les contenus générés par IA (deepfakes, images synthétiques) doivent être marqués comme tels de manière lisible par machine.

Risque minimal : pas d’obligation spécifique

La grande majorité des systèmes d’IA (filtres anti-spam, jeux vidéo, systèmes de recommandation) tombent dans cette catégorie et ne sont soumis à aucune obligation spécifique au-delà du droit commun. L’AI Act encourage néanmoins l’adoption volontaire de codes de conduite.

Modèles d’IA à usage général (GPAI) : les règles pour ChatGPT, Claude et Gemini

L’AI Act crée une catégorie spéciale pour les modèles de fondation et les grands modèles de langage (LLM). Tous les fournisseurs de GPAI doivent fournir une documentation technique, respecter le droit d’auteur européen et publier un résumé des données d’entraînement. Les modèles présentant un « risque systémique » (seuil de 10^25 FLOP d’entraînement) sont soumis à des obligations supplémentaires : évaluations adversariales, tests de cybersécurité, notification des incidents graves et partage d’informations avec le Bureau européen de l’IA.

En pratique, les modèles comme GPT-4, Claude et Gemini Ultra dépassent tous le seuil de risque systémique. Leurs fournisseurs (OpenAI, Anthropic, Google) doivent se conformer à ces obligations renforcées pour continuer à opérer en Europe.

Sanctions : quelles amendes en cas de non-conformité ?

L’AI Act prévoit un régime de sanctions graduées :

  • 35 millions d’euros ou 7% du CA mondial — pour les pratiques d’IA interdites
  • 15 millions d’euros ou 3% du CA mondial — pour la violation des obligations relatives aux systèmes à haut risque
  • 7,5 millions d’euros ou 1,5% du CA mondial — pour la fourniture d’informations incorrectes aux autorités

Pour les PME et startups, les montants sont réduits proportionnellement. Le Bureau européen de l’IA peut également imposer des amendes pouvant atteindre 3% du CA mondial aux fournisseurs de GPAI.

Impact concret de l’AI Act sur les entreprises françaises

Pour les utilisateurs d’outils IA

Si vous utilisez ChatGPT, Claude ou d’autres outils IA dans votre entreprise, vous êtes considéré comme « déployeur ». Vos obligations principales : informer vos employés de l’utilisation de systèmes IA, réaliser une analyse d’impact pour les systèmes à haut risque (recrutement IA, scoring client), et garantir une supervision humaine des décisions automatisées.

Pour les développeurs d’IA

Les entreprises qui développent des systèmes d’IA doivent classifier leurs produits selon la grille de risques, mettre en place une documentation technique conforme, implémenter un système de gestion des risques et se soumettre aux évaluations de conformité. Le label « CE » devient obligatoire pour les systèmes à haut risque commercialisés dans l’UE.

AI Act vs autres régulations mondiales

L’UE a pris une longueur d’avance réglementaire. Les États-Unis privilégient une approche sectorielle avec des executive orders et des guidelines non contraignantes. La Chine a adopté des régulations ciblées (deepfakes, algorithmes de recommandation, IA générative) mais sans cadre global. Le Royaume-Uni mise sur une régulation « pro-innovation » via ses régulateurs sectoriels existants. L’effet Bruxelles pourrait néanmoins imposer l’AI Act comme standard mondial de facto, comme ce fut le cas avec le RGPD.

FAQ — Questions fréquentes sur l’AI Act

L’AI Act s’applique-t-il aux entreprises hors UE ?

Oui. Comme le RGPD, l’AI Act a une portée extraterritoriale. Tout fournisseur ou déployeur de systèmes d’IA dont les résultats sont utilisés dans l’UE est soumis au règlement, peu importe où se trouve son siège social. OpenAI, Google et Anthropic sont donc directement concernés.

ChatGPT est-il considéré comme un système à haut risque ?

ChatGPT en tant que tel est classé comme modèle d’IA à usage général (GPAI) avec risque systémique, et non comme système à haut risque. Cependant, une application construite sur ChatGPT qui prend des décisions de recrutement ou de crédit serait, elle, classée à haut risque. La classification dépend de l’usage final, pas du modèle sous-jacent.

Les open-source sont-ils exemptés ?

Partiellement. Les modèles open-source sont exemptés de la plupart des obligations GPAI, sauf s’ils présentent un risque systémique (seuil de 10^25 FLOP). Llama de Meta, par exemple, dépasse ce seuil et reste donc soumis aux obligations renforcées malgré sa licence ouverte.

Pour aller plus loin

La régulation de l’IA s’inscrit dans un contexte technologique et sociétal en mutation rapide. Approfondissez votre compréhension avec nos guides connexes :