EU AI Act — Ce que vous devez savoir
Le EU AI Act (Règlement 2024/1689) est en vigueur depuis août 2024. L'obligation de littératie en IA (Art. 4) s'applique depuis le 2 février 2025 — dès maintenant, pas seulement à partir d'août 2026. À partir d'août 2026, les obligations pour les systèmes à haut risque et la surveillance réglementaire entreront en vigueur. L'ignorance n'est pas une excuse : des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial sont possibles. Une connaissance approfondie protège votre entreprise.
Vous connaissez les quatre catégories de risque du EU AI Act, comprenez quelles obligations s'appliquent à partir de 2025 et 2026, et êtes capable d'évaluer si un système d'IA dans votre organisation relève des exigences de haut risque.
Pourquoi avons-nous besoin de régulation de l'IA ? — Janelle Shane (TED, 12 Min)
Entrée parfaite : Janelle Shane montre à l'aide d'exemples réels pourquoi une IA incontrôlée conduit à des résultats inattendus — et pourquoi le EU AI Act est précisément nécessaire pour cette raison.
La loi et sa logique
~15 MinLe EU AI Act — Fondements
L'essentiel d'abord
Règlement (UE) 2024/1689 — en vigueur depuis le 1er août 2024. La première loi complète sur l'IA au monde. Elle s'applique à toute personne utilisant l'IA dans l'UE — indépendamment du lieu de développement de l'IA.
Le principe : Plus c'est risqué, plus c'est strict
Le EU AI Act est basé sur le risque. Toutes les IA ne sont pas également dangereuses. Un filtre anti-spam est différent d'un système qui décide de la solvabilité.
Risque inacceptable → INTERDIT
Risque élevé → Obligations strictes + Autorisation
Risque limité → Obligation de transparence
Risque minimal → Peu de restrictions (Majorité des IA)
Calendrier — quelles règles s'appliquent quand ?
| Date | Règlement |
|---|---|
| Août 2024 | Loi en vigueur |
| Février 2025 | Pratiques interdites applicables |
| Août 2025 | Règles pour les modèles de base de l'IA (GPT, Claude etc.) |
| Février 2025 | Obligation de culture de l'IA (Art. 4) + Pratiques interdites (Art. 5) |
| Août 2026 | Obligations pour les risques élevés + surveillance/exécution par les autorités |
| Août 2027 | Périodes de transition pour certaines catégories de produits |
Qui est concerné ?
| Rôle | Définition | Exemple |
|---|---|---|
| Fournisseur | Développe l'IA et la met sur le marché | Startup IA, fournisseur de logiciels |
| Opérateur | Utilise l'IA dans sa propre opération | Votre entreprise |
| Personne concernée | Affectée par les décisions de l'IA | Candidat, emprunteur, patient |
En tant qu'entreprise, vous êtes généralement opérateur — avec des obligations concrètes.
Sanctions
| Infraction | Amende maximale |
|---|---|
| Pratiques interdites (Art. 5) | 35 Mio. EUR ou 7% du chiffre d'affaires annuel |
| Exigences pour les risques élevés | 15 Mio. EUR ou 3% du chiffre d'affaires annuel |
| Informations incorrectes | 7,5 Mio. EUR ou 1,5% du chiffre d'affaires annuel |
Suite : Classes de risque en détail →
Vérification rapide : La loi
1. À qui s'applique le EU AI Act ?
2. À partir de quand s'applique l'obligation de maîtrise de l'IA (Art. 4 EU AI Act) ?
Les 4 classes de risque
~15 MinLes 4 classes de risque en détail
Classe 1 — Interdit (depuis février 2025)
Huit pratiques sont absolument interdites :
| Pratique interdite | Pourquoi |
|---|---|
| Manipulation subliminale | Porte atteinte à l'autonomie |
| Exploitation des faiblesses | Groupes vulnérables |
| Scoring social par les autorités | Atteinte aux droits fondamentaux |
| Policing prédictif (individus) | Présomption d'innocence |
| Surveillance biométrique de masse | Disproportionné |
| Reconnaissance des émotions au travail/école | Potentiel de manipulation |
| Catégorisation biométrique (origine, etc.) | Risque de discrimination |
| Constitution de bases de données faciales par scraping | Protection des données |
Vérification des pratiques : Votre entreprise prévoit-elle l'une de ces pratiques ? → Arrêtez immédiatement. Pas de période de transition.
Classe 2 — Haut risque (complètement à partir d'août 2026)
L'IA dans ces domaines est automatiquement considérée comme à haut risque :
| Domaine | Applications typiques |
|---|---|
| Emploi | Sélection des candidats, évaluation des performances, licenciement |
| Services essentiels | Octroi de crédit, prestations sociales, assurance |
| Éducation | Décisions d'admission, évaluation des examens |
| Infrastructures critiques | Électricité, eau, transport |
| Application de la loi | Évaluation des risques, analyse des preuves |
| Migration | Décisions de visa, contrôle aux frontières |
| Justice | Support à la jurisprudence |
Ce que les opérateurs de systèmes à haut risque doivent faire :
- Mettre en place un système de gestion des risques
- Documenter les pratiques de gestion des données
- Créer une documentation technique
- Activer la journalisation automatique
- Assurer une supervision humaine
- Garantir précision, robustesse, cybersécurité
- Former les employés ← ce cours répond à l'Art. 4
Classe 3 — Risque limité (Transparence)
L'IA qui interagit avec les humains doit se faire reconnaître.
Concrètement :
- Les chatbots doivent s'identifier comme IA
- Les textes/images/vidéos générés par IA doivent être signalés
- Les deepfakes doivent être marqués comme tels
Besoin d'action immédiate pour les entreprises avec des chatbots IA — ces obligations s'appliquent déjà.
Classe 4 — Risque minimal
Filtres anti-spam, recommandations de produits, IA dans les jeux vidéo — largement non réglementés. Codes de conduite volontaires recommandés, pas d'obligations légales.
Test rapide : Quelle classe concerne votre système ?
Question 1 : L'application relève-t-elle de l'Annex III (domaines à haut risque) ?
→ OUI : Obligations de haut risque à partir d'août 2026
→ NON : Passez à la question 2
Question 2 : L'IA interagit-elle avec des humains ou génère-t-elle des contenus visibles ?
→ OUI : Obligation de transparence (Classe 3)
→ NON : Risque minimal (Classe 4)
Incertain ? → Consulter un conseiller juridique. Les coûts sont faibles comparés aux amendes.
Retour : La loi | Suivant : Ce que cela signifie pour vous →
Cas pratique : Le nouvel outil RH
Votre entreprise achète un outil d'IA qui évalue les performances des employés et donne des recommandations d'augmentation de salaire. Le fournisseur dit : "C'est juste un outil d'aide à la décision, pas une véritable IA."
Lösung anzeigen
Oui — et Haut Risque (Annex III : Emploi).
"Support à la décision" n'est pas un laissez-passer.
Si l'IA influence les décisions d'emploi — peu importe comment
c'est présenté — cela est considéré comme à haut risque.
Obligations : évaluation des risques, documentation, supervision humaine,
formation des employés. Avant l'utilisation, pas après.
Catégories de risque en un coup d'œil
- Verboten: Social Scoring, Emotionserkennung Arbeit/Schule, Massenüberwachung
- Hochrisiko: Beschäftigung, Kredit, Bildung, Infrastruktur, Justiz
- Begrenztes Risiko: Chatbots müssen sich als KI zu erkennen geben
- Minimal: Spam-Filter, Empfehlungen — kaum Pflichten
Ce que cela signifie pour moi
~10 MinCe que le EU AI Act signifie pour votre entreprise
Besoin d'action immédiate — maintenant, pas en 2026
Certaines obligations s'appliquent déjà :
| Obligation | En vigueur depuis | Pour qui |
|---|---|---|
| Éviter les pratiques interdites | Fév. 2025 | Tous |
| Obligation de marquage des chatbots | Août 2026* | Opérateurs |
| Formation des employés (AI Literacy) | Août 2026 | Tous les opérateurs |
| Documentation des systèmes à haut risque | Août 2026 | Opérateurs à haut risque |
*techniquement complet à partir d'août 2026, préparation recommandée dès maintenant
Vos obligations en tant qu'opérateur
Étape 1 : Inventaire Quels systèmes d'IA votre entreprise utilise-t-elle ? Remplissez pour chaque système :
- Nom et objectif du système
- Fournisseur
- Groupes concernés
- Classe de risque (→ Test rapide Module 2)
Étape 2 : Prioriser les systèmes à haut risque Pour chaque système à haut risque d'ici août 2026 :
- Mettre en place un système de gestion des risques
- Vérifier l'évaluation d'impact sur la protection des données (DPIA)
- Documenter la supervision humaine
- Former les employés
Étape 3 : Démontrer l'AI Literacy Art. 4 oblige les opérateurs à s'assurer que les employés possèdent une « compétence suffisante en IA ». Ce cours + évaluation = votre preuve.
Droits des personnes concernées
Lorsque l'IA prend des décisions concernant vos clients, employés ou candidats :
| Droit | Base légale | Ce que les personnes concernées peuvent demander |
|---|---|---|
| Transparence | Art. 13 EU AI Act | Explication de la fonction de l'IA |
| Vérification humaine | DSGVO Art. 22 | Vérification par une personne |
| Accès | DSGVO Art. 15 | Quelles données ont été traitées |
| Rectification | DSGVO Art. 16 | Correction des données incorrectes |
Trois questions pour l'achat d'IA
Avant que votre entreprise n'achète ou ne licence un système d'IA :
- « Comment expliquez-vous une décision erronée ? » — Pas de modèle explicatif = pas d'achat.
- « Quelles données d'entraînement avez-vous utilisées et sur quelle base légale ? » — Absence de base légale vous engage en tant qu'opérateur.
- « Qui est responsable en cas de discrimination par votre système ? » — « Le client » n'est pas une réponse.
Retour : Classes de risque | Commencer l'évaluation →
Vos systèmes d'IA
Quels systèmes d'IA votre entreprise utilise-t-elle — et dans quelle classe de risque se situent-ils ?
Pensez à : outils de candidature, chatbots, systèmes de crédit/scoring, algorithmes de recommandation...
- HR-System mit KI-Unterstützung → wahrscheinlich Hochrisiko
- Kundenservice-Chatbot → begrenztes Risiko (Offenbarungspflicht)
- Produktempfehlungen im Shop → minimales Risiko
Ce que vous emportez
- Feb 2025: AI Literacy (Art. 4) + Verbote (Art. 5) gelten jetzt
- August 2026: Hochrisiko-Pflichten + behördliche Aufsicht starten
- Strafen: bis 35 Mio EUR oder 7% Umsatz
- Kernfrage: Fällt mein System unter Hochrisiko?
- Hochrisiko: erst prüfen, dann einsetzen
- Chatbots: müssen sich als KI zu erkennen geben