Ikasia Logo
Retour au blog
Éthique & Régulation

L'AI Act européen expliqué aux entreprises

L'AI Act européen expliqué aux entreprises
Guillaume Hochard
2024-12-28
8 min

L'AI Act européen est la première régulation majeure de l'intelligence artificielle au monde. Entré en vigueur progressivement depuis 2024, il impose des obligations strictes aux entreprises qui développent ou utilisent des systèmes IA. Voici ce que vous devez savoir.

Qu'est-ce que l'AI Act ?

L'AI Act est un règlement européen qui classe les systèmes IA selon leur niveau de risque et impose des obligations proportionnées.

Objectif :

  • Protéger les citoyens contre les risques liés à l'IA
  • Garantir la transparence et la confiance
  • Favoriser l'innovation responsable

Les 4 catégories de risque

1. Risque inacceptable (INTERDIT) Systèmes IA qui manipulent le comportement humain, exploitent des vulnérabilités, ou mettent en danger la sécurité.

Exemples :

  • Social scoring (notation des citoyens comme en Chine)
  • Manipulation cognitive
  • Exploitation des mineurs

→ Ces systèmes sont interdits dans l'UE.

2. Risque élevé (RÉGULATION STRICTE) Systèmes IA utilisés dans des domaines critiques.

Exemples :

  • IA dans les infrastructures critiques (énergie, transport)
  • Évaluation d'étudiants ou de candidats à l'emploi
  • Scoring de crédit
  • Systèmes de reconnaissance faciale pour law enforcement
  • Dispositifs médicaux basés sur l'IA

Obligations : ✅ Évaluation des risques obligatoire ✅ Documentation technique complète ✅ Logging et traçabilité ✅ Supervision humaine ✅ Robustesse et précision testées ✅ Transparence envers les utilisateurs

3. Risque limité (TRANSPARENCE REQUISE) Systèmes IA qui interagissent avec des humains.

Exemples :

  • Chatbots et assistants virtuels
  • Systèmes de recommandation
  • Génération de contenu (deepfakes, images IA)

Obligations : ✅ Informer les utilisateurs qu'ils interagissent avec une IA ✅ Étiqueter les contenus générés par IA (deepfakes)

4. Risque minimal (PAS DE RÉGULATION) Systèmes IA à faible risque.

Exemples :

  • Filtres anti-spam
  • Jeux vidéo avec IA
  • Outils de productivité (grammaire, traduction)

→ Aucune obligation spécifique.

Qui est concerné ?

Vous êtes concerné si :

  • Vous développez un système IA commercialisé dans l'UE
  • Vous utilisez un système IA à risque élevé dans l'UE
  • Vous importez des systèmes IA dans l'UE
  • Vous êtes un fournisseur de modèles (LLMs comme OpenAI, Anthropic)

Même si vous êtes hors UE, l'AI Act s'applique si vos systèmes sont utilisés dans l'UE.

Obligations pour les systèmes IA à risque élevé

  1. Évaluation de conformité avant mise sur le marché
  2. Documentation technique : dataset, architecture, tests
  3. Logging : enregistrer toutes les décisions de l'IA
  4. Supervision humaine : un humain doit pouvoir intervenir
  5. Transparence : informer les utilisateurs du fonctionnement
  6. Robustesse : tests de sécurité, cybersécurité, résilience
  7. Qualité des données : pas de biais discriminatoires
  8. Marquage CE (comme pour les produits électroniques)

AI Act et LLMs (ChatGPT, Claude, etc.)

L'AI Act introduit des obligations spécifiques pour les modèles d'IA générative (LLMs) :

Pour les fournisseurs de modèles (OpenAI, Anthropic, etc.) : ✅ Transparence sur les données d'entraînement ✅ Respect du droit d'auteur ✅ Documentation des capacités et limites ✅ Évaluation des risques systémiques (pour les très gros modèles)

Pour les entreprises qui utilisent des LLMs : Si vous construisez une application IA à risque élevé avec un LLM, vous êtes responsable de la conformité.

Sanctions

Les sanctions sont très élevées (comme pour le RGPD) :

  • 35M€ ou 7% du CA mondial pour interdiction d'un système à risque inacceptable
  • 15M€ ou 3% du CA mondial pour non-respect des obligations (systèmes à risque élevé)
  • 7,5M€ ou 1,5% du CA mondial pour informations incorrectes

Comment se mettre en conformité ?

1. Identifier vos systèmes IA et leur niveau de risque Auditez tous les systèmes IA que vous développez ou utilisez.

2. Pour les systèmes à risque élevé :

  • Documenter : architecture, données, tests
  • Tester : robustesse, biais, sécurité
  • Mettre en place supervision humaine
  • Logger toutes les décisions

3. Pour les systèmes à risque limité :

  • Informer les utilisateurs (ex : "Vous discutez avec un chatbot IA")
  • Étiqueter les contenus générés (ex : "Image générée par IA")

4. Former vos équipes Sensibiliser vos développeurs, product managers, compliance officers aux obligations de l'AI Act.

Notre formation AI Act et Régulation

Chez Ikasia, nous proposons une formation d'1 jour pour maîtriser l'AI Act et mettre votre organisation en conformité.

Programme :

  • Comprendre l'AI Act : périmètre, classification, obligations
  • Atelier : Évaluer les risques de vos systèmes IA
  • RGPD et IA : articulation des réglementations
  • Construire un framework de gouvernance IA
  • Rédiger une charte d'utilisation de l'IA

Conclusion

L'AI Act est déjà là. Les entreprises ont jusqu'à 2026-2027 pour se mettre en conformité selon les catégories de risque. Anticiper dès maintenant vous évitera des sanctions lourdes et vous donnera un avantage concurrentiel (certification, confiance clients).

Tags

AIAct Regulation Compliance RGPD