top of page

Mise en œuvre du Règlement européen sur l’intelligence artificielle : impacts sur les organisations, gestion des risques… Nous sommes tous concernés !

L’utilisation de l’intelligence artificielle (IA) s’est considérablement accrue ces dernières années et continue de se généraliser, notamment pour optimiser des activités, innover dans les offres de produits, services et dans la relation clients (chatbot, applications, etc.).


Droits fondamentaux (non-discrimination, respect de la vie privée…), protection des données à caractère personnel, respect des droits de propriété intellectuelle : les usages de l’IA comportent des risques juridiques. En créant un cadre harmonisé au sein de l’Union européenne, le Règlement européen sur l’intelligence artificielle (AI Act) vise à promouvoir le développement d’une IA « digne de confiance » et l’innovation en matière d’IA dans l’Union européenne, tout en respectant les droits et valeurs fondamentaux de celle-ci (« y compris la démocratie, l'état de droit et la protection de l'environnement »).


Au-delà d’une approche éthique, quels sont les principaux apports du Règlement sur l’IA et ses impacts sur les organisations ? 


Garance Mathias, Avocat Associée – Fondateur Mathias Avocats et Eva Aspe, Responsable Affaires Publiques, Mathias Avocats, décryptent pour vous l’actualité juridique 


L’adoption d’une démarche éthique comme pierre angulaire du Règlement sur l’IA


Notons que l’éthique n’est pas définie juridiquement. Cependant, le Règlement sur l’IA met l’accent sur la notion d’éthique, expressément mentionnée dans le texte.  


Le Règlement européen sur l’IA précise que les principes éthiques « devraient se retrouver, autant que possible, dans la conception et l'utilisation des modèles d'IA. Ils devraient en tout état de cause servir de base à l'élaboration de codes de conduite au titre du présent règlement. Toutes les parties prenantes, y compris l'industrie, le monde universitaire, la société civile et les organismes de normalisation, sont encouragées à tenir compte, ainsi qu'il convient, des principes éthiques pour l'élaboration de bonnes pratiques et de normes volontaires ». (Considérant (27))


Aussi, le législateur européen a prévu un champ d’application du Règlement sur l’IA qui soit le plus large possible : tous secteurs d’activité (à l’exception des utilisations d’IA « exclusivement à des fins militaires, de défense ou de sécurité nationale », article 2) ; et tous les acteurs, y compris toute la chaîne d’approvisionnement, regroupés sous le terme d’« opérateurs » (fournisseur, fabricant, déployeur, mandataire, importateur ou distributeur, article 3).


Quels sont les impacts de ce Règlement sur les organisations ? 


Le Règlement sur l’IA vise à fournir des règles claires et uniformes concernant la mise sur le marché, la mise en service et l'utilisation de systèmes d'IA dans l'UE. Il repose sur une approche de l’IA fondée sur les risques et introduit une distinction entre les systèmes d’IA selon les risques qu’ils représentent pour « la santé, la sécurité ou les droits fondamentaux des personnes » : risque inacceptable, élevé et faible ou minimal.


Selon les risques qu’ils induisent, les systèmes d’IA sont soit totalement interdits, soit autorisés et soumis à des obligations. 


L’interdiction de la mise sur le marché, la mise en service ou l'utilisation d'un système d'IA concernant les pratiques prévues à l’article 5 (présentant un risque inacceptable) est entrée en vigueur le 5 février 2025. Dans cette catégorie de pratiques interdites figurent notamment les systèmes d’IA ayant « recours à des techniques subliminales, ou à des techniques délibérément manipulatrices ou trompeuses, ayant pour objectif ou effet d'altérer substantiellement le comportement d'une personne ou d'un groupe de personnes en portant considérablement atteinte à leur capacité à prendre une décision éclairée […] » ; ou encore les systèmes d’IA « pour mener des évaluations des risques des personnes physiques visant à évaluer ou à prédire le risque qu'une personne physique commette une infraction pénale, uniquement sur la base du profilage d'une personne physique ou de l'évaluation de ses traits de personnalité ou caractéristiques […] ».


Les principales obligations du texte concernent les systèmes d’IA identifiés comme à haut risque, qui recouvrent notamment les systèmes d'IA destinés à être utilisés en tant que composants de sécurité dans la gestion et l'exploitation d'infrastructures numériques critiques, du trafic routier ou de la fourniture d'eau, de gaz, de chauffage ou d'électricité ; les systèmes d’IA utilisés dans l’éducation et la formation professionnelle (évaluation des acquis d’apprentissage, surveillance lors d’examens, etc.) ; les systèmes d’IA utilisés en matière d’emploi, d’accès aux services publics, de répression, de migration et d’asile, etc.


Pour pouvoir être mis sur le marché, ces systèmes d’IA à haut risque devront notamment répondre à des exigences relatives à une évaluation adéquate et atténuation des risques ; aux principes de minimisation, traçabilité, documentation détaillée fournissant toutes les informations nécessaires sur le système et son objet pour permettre aux autorités d’évaluer sa conformité ; haut niveau de robustesse, de sécurité et d’exactitude, etc.


Les entités vont donc devoir s’adapter, en amont, mais aussi tout au long de leurs processus internes ; et mettre en place une série de mécanismes pour rester en conformité.


Concernant les systèmes d’IA à risque limité, ils seront soumis à des obligations spécifiques en matière de transparence, notamment : information des utilisateurs lors de l'utilisation de systèmes d'IA (comme les chatbots) ; identification du contenu généré par l'IA (étiquetage des textes générés par l'IA, publiés dans un but d'information du public sur des questions d'intérêt public, comme étant générés artificiellement), etc. 


Les systèmes d’IA considérés à risque minimal ou nul ne requièrent pas d’obligations spécifiques, mais peuvent donner lieu à des lignes directrices et codes de bonnes pratiques. Cette catégorie regroupe un grand nombre de systèmes d’IA, tels que des applications de jeux, filtres anti-spam, etc.


Naturellement, le Règlement général sur la protection des données (RGPD) s’applique à tous les traitements de données personnelles. Ainsi, dans le cadre de systèmes d’IA, la vigilance sera de mise, à toutes les étapes et en particulier : 

  • Lors de la phase de développement d’un système d’IA : un fournisseur de système ou de modèle d’IA au sens du Règlement sur l’IA sera le plus souvent considéré comme responsable du traitement au regard du RGPD ;


  • Et lors de la phase d’utilisation (ou déploiement) d’un système d’IA : un déployeur ou utilisateur de système d’IA au sens du Règlement sur l’IA qui traite des données personnelles en sera le plus souvent responsable au titre du RGPD.


La sanction maximale prévue par le Règlement sur l’IA est encore plus élevée que celles prévues par le RGPD (20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial) :  jusqu’à 35 millions d’euros (ou 7% du chiffre annuel mondial) en cas de manquement concernant les pratiques interdites en matière d’IA. Dans les autres cas, elles peuvent atteindre jusqu'à 15 millions d’euros (ou jusqu'à 3 % du CA annuel mondial).


La fourniture d'informations inexactes, incomplètes ou trompeuses aux autorités nationales compétentes ou organismes notifiés, en réponse à une demande, fait l'objet d'une amende administrative pouvant aller jusqu'à 7,5 millions d’euros (ou jusqu'à 1 % du CA annuel mondial).


Quelle sont les prochaines étapes et quelles sont les autorités nationales en charge de l’application du Règlement sur l’IA ?


L’article 113 du Règlement sur l’IA prévoit que celui-ci est applicable à compter du 2 août 2026 ; à l’exception de nombreuses dispositions qui sont applicables avant : notamment celles relatives aux IA interdites (article 5) ou celles relatives à la formation (« maîtrise de l’IA ») des fournisseurs, des déployeurs et leur personnel (article 4), qui sont entrées en application le 5 février dernier.


Avant le 2 août 2025, les États membres doivent mettre en place ou désigner des autorités compétentes (article 113), c’est-à-dire les « autorités notifiantes » (chargées « de mettre en place et d’accomplir les procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité et à leur contrôle », article 28) ; et les « autorités de surveillance du marché » (chargée de veiller à ce que seuls les produits conformes au droit de l'Union européenne soient mis à disposition sur le marché de l'UE).


Si plusieurs autorités compétentes sont désignées au sein d’un même État membre comme autorités de surveillance du marché, l’une d’entre elles doit endosser le rôle de point de contact national, afin de faciliter les échanges avec la Commission européenne, les autorités homologues et vis-à-vis du public. Les systèmes d’IA à haut risque déjà soumis à une réglementation sectorielle (listés à l’annexe I) resteront régulés par les autorités qui les contrôlent actuellement (par exemple, l’Agence nationale de sécurité du médicament et des produits de santé, ANSM, pour les dispositifs médicaux).


Dans le cadre de la mise en œuvre du Règlement sur l’IA, les États membres doivent identifier les autorités publiques nationales chargées de faire respecter les droits fondamentaux, en particulier en ce qui concerne les systèmes d'IA à haut risque. Ces autorités devaient être désignées par les États membres avant le 2 novembre 2024 (article 77), mais plusieurs États n’ont pas encore communiqué officiellement sur ces désignations.


En revanche, certains États ont déjà prévu la répartition des rôles. En Espagne, l’Agence espagnole de supervision de l’intelligence artificielle, créée en 2023, est l’autorité de surveillance du marché. Concernant la protection des droits fondamentaux, ce sont douze autorités ou organismes publics qui ont été identifiés (au niveau national et dans les régions). 


En Autriche, ce sont plus d’une quarantaine d’organismes, couvrant près de dix secteurs (protection des données, droit des consommateurs, protection des enfants, droit des travailleurs, etc.)  qui ont été identifiés pour faire respecter les droits fondamentaux.


En France, plusieurs autorités devraient prochainement être désignées. Ont déjà été identifiées : la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), la Commission nationale de l’informatique et des libertés (CNIL) et le Défenseur des Droits.


Pour les entités, privées et publiques, de toutes tailles, de tous secteurs… bref, pour nous tous, il convient d’adopter une stratégie IA : identification des usages dans mon organisation (actuels et à venir, selon les projets), sensibilisation des équipes aux risques, formation, adoption d’une gouvernance adaptée, mise en place des process et suivi, etc. Au-delà d’une nouvelle contrainte réglementaire, la mise en conformité IA doit être appréhendée comme une démarche structurante pour les organisations et un moyen d’embarquer les équipes sur ces enjeux (montée en compétence, formation, prise en compte de l’éthique dans les métiers, etc.).

 
 
Logo de S&D Magazine

S'abonner à S&D Magazine : 

Un abonnement qui vous donne accès à tous les contenus exclusifs hebdomadaires en ligne : des articles, portraits, décryptages, podcasts et 3 magazines édition papier et numérique

Mentions légales

© 2025 par S&D Magazine. 

Termes et conditions générales

bottom of page