
Dans cet article, Solène Gérardin, avocate experte en droit du numérique, décrypte le nouveau Règlement européen sur l'intelligence artificielle (AI Act). Elle présente les objectifs de cette législation, détaille la classification des systèmes d'IA selon leurs niveaux de risque, et souligne les dates clés de son entrée en application. Une analyse essentielle pour comprendre les enjeux et implications de cette réglementation majeure pour le secteur de l'IA en Europe.
Le Parlement européen et le Conseil de l’Union européenne ont adopté un règlement européen sur l’intelligence artificielle : le Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) no 300/2008, (UE) no 167/2013, (UE) no 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828.
Objectifs du Règlement européen sur l’intelligence artificielle
Le Règlement européen sur l’intelligence artificielle (« AI Act ») poursuit plusieurs objectifs :
- protéger les droits fondamentaux,
- soutenir de nouvelles solutions innovantes,
- permettre la mise en place d’un écosystème européen d’acteurs publics et privés créant des systèmes d’intelligence artificielle (« IA ») conformes aux valeurs de l’Union européenne,
- libérer le potentiel de la transformation numérique dans l’ensemble des régions de l’Union européenne [1].
Niveaux de risques des systèmes d’intelligence artificielle
L’AI Act a une approche par les risques qui consiste à catégoriser les systèmes d’intelligence artificielle en fonction de leur niveau de risque pour que les obligations correspondantes soient applicables.
L’AI Act définit un système d’IA comme « un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels » [2].
Pratiques interdites en matière d’IA
L’AI Act interdit certaines pratiques en matière d’IA en raison de leur criticité (article 5 de l’AI Act). Ces interdictions s’inscrivent dans la protection des droits fondamentaux des personnes.
Parmi les pratiques interdites en matière d’IA par l’AI Act figure notamment « la mise sur le marché, la mise en service ou l’utilisation d’un système d’IA qui a recours à des techniques subliminales, au-dessous du seuil de conscience d’une personne, ou à des techniques délibérément manipulatrices ou trompeuses, avec pour objectif ou effet d’altérer substantiellement le comportement d’une personne ou d’un groupe de personnes en portant considérablement atteinte à leur capacité à prendre une décision éclairée, amenant ainsi la personne à prendre une décision qu’elle n’aurait pas prise autrement, d’une manière qui cause ou est raisonnablement susceptible de causer un préjudice important à cette personne, à une autre personne ou à un groupe de personnes ; » [3].
Cette interdiction s’explique par le risque que l’IA soit utilisée à mauvais escient et serve d’appui à des pratiques de manipulation. En effet, les techniques de manipulation fondées sur l’IA peuvent être utilisées pour persuader des personnes d’adopter des comportements indésirables ou pour les tromper en les poussant à prendre des décisions d’une manière qui met à mal et compromet leur autonomie, leur libre arbitre et leur liberté de choix.
L’AI Act interdit également « la mise sur le marché, la mise en service à cette fin spécifique ou l’utilisation de systèmes d’IA pour inférer les émotions d’une personne physique sur le lieu de travail et dans les établissements d’enseignement, sauf lorsque l’utilisation du système d’IA est destinée à être mise en place ou mise sur le marché pour des raisons médicales ou de sécurité » [4].
Le risque est que des systèmes d’IA qui identifient ou déduisent les émotions ou les intentions de personnes physiques sur la base de leurs données biométriques conduisent à des résultats discriminatoires et soient intrusifs pour les droits et libertés des personnes concernées. Dans la mesure où il existe un déséquilibre de pouvoir dans le cadre du travail, celui-ci combiné au caractère intrusif de ces systèmes d’IA, ces derniers risqueraient de déboucher sur le traitement préjudiciable ou défavorable de certaines personnes physiques ou de groupes entiers de personnes physiques. [5]
Systèmes d’IA à haut risque
L’AI Act classifie des systèmes d’IA comme étant des systèmes à haut risque. De nombreuses obligations prévues par l’AI Act s’appliquent aux systèmes d’IA à haut risque.
Les systèmes d’IA à haut risque sont visés par l’annexe III de l’AI Act. Cette annexe se subdivise en différentes catégories dont l’éducation et la formation professionnelle [6], l’emploi, la gestion de la main d’œuvre et l’accès à l’emploi indépendant [7] ou encore la migration, l’asile et la gestion des contrôles aux frontières [8].
Cette classification s’explique par le fait que les systèmes d’IA dans ces domaines peuvent déterminer le parcours d’une personne que ce soit sur le plan éducatif, dans sa carrière ou encore pour des personnes qui se trouvent dans une situation particulièrement vulnérable et qui sont tributaires du résultat des actions des autorités publiques compétentes, en ce qui concerne la migration.
Systèmes d’IA destinés à interagir directement avec des personnes physiques
L’AI Act impose aux fournisseurs de systèmes d’IA destinés à interagir directement avec des personnes physiques d’informer ces personnes qu’elles interagissent avec un système d’IA [9]. Cette obligation de transparence s’explique par le fait que certains systèmes d’IA destinés à interagir avec des personnes physiques ou à générer du contenu peuvent présenter des risques spécifiques d’usurpation d’identité ou de tromperie. Les personnes physiques doivent donc être avisées qu’elles interagissent avec un système d’IA, sauf si cela ressort clairement du point de vue d’une personne physique normalement informée et raisonnablement attentive et avisée, compte tenu des circonstances et du contexte d’utilisation.
Systèmes d’IA à usage général qui génèrent des contenus de synthèse de type audio, image, vidéo ou texte
L’AI Act impose aux fournisseurs de systèmes d’intelligence artificielle, y compris à usage général, qui génèrent des contenus de synthèse de type audio, image, vidéo ou texte que les sorties des systèmes d’intelligence artificielle soient marquées dans un format lisible par machine et identifiables comme ayant été générées ou manipulées par une IA [10].
Modèles d’IA à usage général
Par ailleurs, l’AI Act prévoit également des obligations pour les modèles d’IA à usage général [11]. L’AI Act définit le modèle d’IA à usage général comme « un modèle d’IA, y compris lorsque ce modèle d’IA est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle, qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché » [12].
Dates d’entrée en application de l’AI Act
L’AI Act a différentes dates d’entrée en application en fonction des obligations, dont voici les principales [13].
- 2 février 2025: interdictions relatives aux systèmes d’IA présentant des risques inacceptables,
- 2 août 2025: règles relatives aux modèles d’IA à usage général,
- 2 août 2026: toutes les dispositions de l’AI Act, notamment les règles relatives aux systèmes d’IA à haut risque listés à l’annexe III de l’AI Act,
- 2 avril 2027: règles relatives aux systèmes d’IA à haut risque non décrits à l’annexe III de l’AI Act mais intégrés en tant que composants de sécurité d’un produit.
[1] Considérant 7 AI Act
[2] Article 3(1) AI Act
[3] Article 5(1)(a) AI Act
[4] Article 5(1)(f) AI Act
[5] Considérant 44 AI Act
[6] Annexe III (3) AI Act
[7] Annexe III (4) AI Act
[8] Annexe III (7) AI Act
[9] Article 50(1) AI Act
[10] Article 50(2) AI Act
[11] Article 51 AI Act
[12] Article 3(63) AI Act
[13] Article 113 AI Act

Solène Gérardin est avocate au Barreau de Paris, experte en droit du numérique. Forte de plus de 7 ans d'expérience, elle accompagne ses clients dans leurs projets innovants, notamment en matière d'intelligence artificielle, de protection des données personnelles et de cybersécurité. Solène Gérardin intervient régulièrement comme formatrice et conférencière sur ces sujets d'actualité, partageant son expertise avec passion et pédagogie.