Règlement européen AI Act

L'AI Act repose sur une approche par les risques. Plus le risque d'un système d'IA pour les droits fondamentaux est élevé, plus les obligations imposées sont strictes — jusqu'à l'interdiction pure.

Cliquez sur un niveau pour en lire le détail ci-dessous.

L'Article 5 du règlement énumère huit pratiques jugées incompatibles avec les valeurs de l'Union européenne et les droits fondamentaux. Ces pratiques sont interdites depuis le 2 février 2025 — soit la première étape d'application du règlement.

Les huit catégories de pratiques interdites :

• Techniques subliminales ou délibérément manipulatrices altérant le comportement d'une personne.
• Exploitation des vulnérabilités liées à l'âge, au handicap ou à la situation sociale ou économique.
• Notation sociale par les autorités publiques fondée sur le comportement ou des caractéristiques personnelles.
• Évaluation des risques de commission d'infractions pénales fondée uniquement sur le profilage.
• Création ou expansion de bases de données de reconnaissance faciale par moissonnage non ciblé d'images.
• Inférence des émotions sur le lieu de travail ou dans les établissements d'enseignement (sauf raisons médicales ou de sécurité).
• Catégorisation biométrique pour déduire la race, les opinions politiques, l'appartenance syndicale, les convictions religieuses, la vie sexuelle ou l'orientation sexuelle.
• Identification biométrique à distance en temps réel dans les espaces accessibles au public à des fins répressives (sauf exceptions limitativement énumérées).

Un système d'IA est classé à haut risque lorsqu'il est intégré comme composant de sécurité d'un produit déjà soumis à une législation harmonisée listée en Annexe I (jouets, dispositifs médicaux, ascenseurs, machines, équipements radio, etc.) — ou lorsqu'il relève de l'un des huit domaines listés en Annexe III.

Les huit domaines de l'Annexe III :

• Identification biométrique à distance, catégorisation biométrique, reconnaissance des émotions hors usages interdits.
• Infrastructures critiques : gestion et exploitation des infrastructures numériques critiques, du trafic routier, de l'eau, du gaz, du chauffage et de l'électricité.
• Éducation et formation professionnelle : détermination de l'accès, évaluation des résultats d'apprentissage, surveillance d'examens.
• Emploi, gestion des travailleurs et accès à l'emploi indépendant : recrutement, sélection, attribution de tâches, suivi et évaluation des performances et du comportement.
• Accès aux services privés essentiels et aux services et prestations publics essentiels : scoring de crédit, tarification de l'assurance vie et santé, évaluation de l'éligibilité aux prestations sociales.
• Application de la loi : évaluation du risque qu'une personne devienne victime, polygraphes, évaluation de la fiabilité des preuves.
• Migration, asile et contrôle aux frontières : évaluation des risques, examen des demandes, identification.
• Administration de la justice et processus démocratiques : aide à la recherche et à l'interprétation des faits et du droit, influence sur le résultat d'une élection ou d'un référendum.

Le règlement impose des obligations distinctes à deux acteurs : les fournisseurs et les déployeurs. Voir le détail dans notre analyse Conformité AI Act pour les RH.

Certains systèmes d'IA ne sont ni interdits ni classés à haut risque, mais présentent un risque spécifique de manipulation ou de tromperie. L'Article 50 leur impose des obligations de transparence, indépendamment de toute autre obligation sectorielle.

Quatre catégories sont visées :

• Systèmes interagissant directement avec des personnes physiques (chatbots, assistants vocaux). Le fournisseur doit veiller à ce que l'utilisateur soit informé qu'il interagit avec une IA, sauf si cela est évident.
• Systèmes de reconnaissance des émotions ou de catégorisation biométrique. Le déployeur doit informer les personnes exposées de leur fonctionnement et obtenir, le cas échéant, leur consentement.
• Systèmes générant des hypertrucages (deepfakes). Le contenu doit être étiqueté de manière claire et visible comme ayant été généré ou manipulé artificiellement.
• Systèmes générant ou manipulant des textes publiés pour informer le public sur des questions d'intérêt général. La nature artificielle du texte doit être révélée, sauf si le contenu fait l'objet d'un contrôle éditorial humain.

Les systèmes d'IA qui ne relèvent d'aucune des trois catégories précédentes ne sont soumis à aucune obligation spécifique au titre de l'AI Act. Selon les estimations de la Commission européenne, ces systèmes représentent plus de 85 % des cas d'usage actuels en Europe.

Exemples typiques :

• Filtres anti-spam et de catégorisation de courriels.
• IA intégrée dans les jeux vidéo (comportement des personnages non-joueurs, génération procédurale).
• Systèmes de recommandation de produits en ligne sans impact sur l'accès à des services essentiels.
• Traduction automatique grand public.
• Outils d'optimisation interne (logistique, maintenance prédictive sans incidence sur la sécurité).

Le règlement encourage, à l'Article 95, l'élaboration de codes de conduite volontaires pour étendre certaines bonnes pratiques aux systèmes à risque minimal. Par ailleurs, les obligations relevant d'autres régimes restent pleinement applicables : RGPD pour le traitement de données personnelles, droit de la consommation, propriété intellectuelle.