Débuter avec la conformité au Règlement IA : Guide pour débutants
What you need to know: Débuter avec la conformité au Règlement IA : Guide pour débutants
Vous débutez avec le Règlement IA de l'UE ? Ce guide pratique vous accompagne lors des 90 premiers jours : de l'inventaire à la classification des risques, jusqu'à la documentation.
Le Règlement IA de l'UE (Règlement (UE) 2024/1689) est déjà en vigueur, et les principales échéances de conformité approchent rapidement. Si vous débutez dans la conformité à l'IA, ce règlement peut sembler écrasant — il est long, techniquement complexe et renvoie à des dizaines d'autres textes législatifs européens.
Ce guide dissipe cette complexité grâce à une feuille de route pratique sur 90 jours. Il couvre ce qui déclenche vos obligations, comment constituer un inventaire des systèmes IA, comment classer vos systèmes par niveau de risque, et ce qu'implique concrètement chaque classification.
Ce qui déclenche vos obligations au titre du Règlement IA
Vos obligations dépendent de votre rôle. Le règlement distingue les fournisseurs — organisations qui développent et mettent sur le marché des systèmes d'IA — et les déployeurs — organisations qui utilisent des systèmes d'IA dans leurs propres opérations.
Si vous développez et vendez des systèmes d'IA, ou si vous développez des systèmes d'IA pour un déploiement interne, vous êtes fournisseur. Si vous utilisez des outils d'IA achetés auprès d'un fournisseur, intégrés via une API ou intégrés dans des produits SaaS que vous avez acquis, vous êtes probablement déployeur. La distinction est importante : les fournisseurs supportent les obligations principales de documentation et d'évaluation de la conformité, tandis que les déployeurs ont un ensemble différent d'obligations centré sur l'utilisation dans la finalité prévue, la supervision humaine et les évaluations d'impact sur les droits fondamentaux pour certains déploiements à haut risque.
La plupart des PME et des grandes entreprises qui ne sont pas des éditeurs de produits IA seront des déployeurs. Ce guide porte principalement sur la voie du déployeur, tout en signalant les différences applicables aux fournisseurs.
Deux obligations s'appliquent déjà à tous : l'exigence de culture de l'IA prévue à l'article 4 (en vigueur depuis février 2025) et l'interdiction de certaines pratiques en matière d'IA prévue à l'article 5 (également en vigueur depuis février 2025). Vous ne pouvez pas reporter ces obligations pendant que vous clarifiez le reste.
Étape 1 : Constituer un inventaire des systèmes IA (semaines 1–2)
On ne peut classer que ce que l'on a recensé. Commencez par dresser un inventaire complet de tous les systèmes d'IA utilisés par votre organisation — qu'il s'agisse de systèmes que vous avez développés ou d'outils tiers intégrant de l'IA.
Pour chaque système, documentez :
- Nom et fournisseur — comment s'appelle le système et qui le fournit
- Finalité — à quoi sert le système et quelle fonction métier l'utilise
- Données d'entrée — quelles données personnelles le système traite éventuellement
- Influence sur les décisions — la sortie du système influence-t-elle des décisions concernant des personnes physiques ?
- Utilisateurs — quels employés ou unités métier s'appuient sur la sortie
- Contexte de déploiement — est-ce destiné aux clients, en interne, ou les deux ?
Catégories courantes à auditer : outils RH et de recrutement (suivi des candidatures, tri de CV, systèmes d'évaluation des performances), outils orientés clients (chatbots, moteurs de recommandation, personnalisation de contenu), outils financiers (décision de crédit, détection de fraude, modèles de tarification), outils de sécurité (surveillance du réseau, contrôle d'accès) et tout outil de productivité interne intégrant des fonctions d'IA.
Cet inventaire servira de registre IA permanent — un document vivant qui doit être mis à jour à chaque fois qu'un nouvel outil IA est adopté ou qu'un outil existant évolue de manière significative.
Étape 2 : Classer les risques (semaines 3–4)
Inventaire en main, appliquez le cadre de classification à quatre niveaux du Règlement IA à chaque système.
Premièrement, vérifiez l'article 5 — la liste des pratiques interdites. Huit catégories d'IA sont totalement interdites dans l'UE : la manipulation subliminale, l'exploitation des vulnérabilités, la notation sociale par les autorités publiques, l'identification biométrique en temps réel dans les espaces publics par les autorités répressives, la catégorisation biométrique visant à déduire des attributs sensibles, la reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement, l'extraction non ciblée de données faciales et la police prédictive. Si un système de votre inventaire ressemble à l'une de ces catégories, consultez immédiatement un conseiller juridique.
Deuxièmement, vérifiez l'Annexe III — la liste des systèmes à haut risque. Huit secteurs sont couverts : biométrie, infrastructures critiques, éducation, emploi, services essentiels (crédit, assurance, prestations sociales), répression pénale, migration et administration de la justice. Pour chaque système de votre inventaire, posez-vous la question : opère-t-il dans l'un de ces secteurs ET prend-il ou influence-t-il substantiellement des décisions concernant des personnes physiques ? Si oui, il est à haut risque et soumis au régime de conformité complet d'ici le 2 août 2026.
Troisièmement, vérifiez l'article 50 — les obligations de transparence. Même les systèmes qui ne sont pas à haut risque sont soumis à des obligations de divulgation s'ils sont des chatbots (les utilisateurs doivent être informés qu'ils interagissent avec une IA), génèrent du contenu synthétique (qui doit être étiqueté) ou utilisent la reconnaissance des émotions.
Tout le reste relève du risque minimal — aucune obligation spécifique au-delà de la culture de l'IA prévue à l'article 4.
Étape 3 : Démarrer la documentation (semaines 5–8)
Pour tout système d'IA à haut risque figurant dans votre inventaire, engagez le processus de documentation de conformité. Les exigences documentaires principales des articles 9 à 15 sont les suivantes :
- Système de gestion des risques (article 9) : un processus documenté et continu d'identification, d'évaluation et d'atténuation des risques
- Gouvernance des données (article 10) : documentation de la qualité, de la représentativité et de l'évaluation des biais des données d'entraînement (principalement pour les fournisseurs)
- Documentation technique (article 11) : documentation exhaustive selon l'Annexe IV relative à la conception, aux performances et aux limites du système
- Journalisation (article 12) : journalisation automatique des événements permettant la surveillance post-commercialisation
- Transparence vis-à-vis des déployeurs (article 13) : notice d'utilisation couvrant la finalité prévue et les limitations
- Supervision humaine (article 14) : mécanismes de supervision documentés et capacité d'intervention humaine
Pour les déployeurs utilisant des systèmes d'IA à haut risque de tiers, le fournisseur doit fournir la documentation technique et la notice d'utilisation. Votre obligation consiste à vous assurer que ces documents existent, sont adéquats et que vous utilisez le système dans le cadre de sa finalité prévue.
Étape 4 : Culture de l'IA en continu (en permanence)
L'article 4 impose à tous les fournisseurs et déployeurs de s'assurer que leur personnel dispose d'une culture suffisante de l'IA. Il ne s'agit pas d'une formation ponctuelle — c'est une obligation continue. Construisez un programme couvrant : quels systèmes d'IA votre organisation utilise, comment fonctionne chaque système à un niveau adapté au rôle de l'employé, les limitations et modes de défaillance connus, comment signaler les préoccupations, et les mises à jour lors de l'adoption de nouveaux systèmes.
Conservez des traces. Les autorités nationales compétentes demanderont des preuves de la conformité à l'obligation de culture de l'IA, et un programme de formation documenté avec des listes de présence constitue le standard minimum.
Ressources gratuites disponibles
La Commission européenne et l'ENISA ont toutes deux publié des documents d'orientation pour soutenir la conformité. Le Bureau européen de l'IA (opérant au sein de la Commission) gère le portail de mise en œuvre du Règlement IA sur le site de stratégie numérique de la Commission européenne. L'ENISA a publié une méthodologie d'évaluation des risques liés à l'IA. Le Comité européen de la protection des données (CEPD) a publié des orientations sur l'articulation entre le RGPD et l'IA. Les autorités nationales compétentes dans les grands États membres ont également publié des orientations sectorielles spécifiques à l'IA — en France, la CNIL a publié des recommandations sur les systèmes d'IA et leur conformité au RGPD.
Erreurs fréquentes des débutants
Les erreurs les plus fréquentes en phase initiale sont : ne pas finaliser l'inventaire avant de procéder à la classification (ce qui entraîne l'omission de systèmes) ; traiter « notre fournisseur est conforme » comme suffisant sans vérifier que la documentation existe réellement ; reporter l'obligation de culture de l'IA prévue à l'article 4 parce qu'elle semble moins urgente que l'échéance 2026 ; et traiter la classification des risques comme un exercice ponctuel plutôt que comme un processus à reprendre lorsque les systèmes ou les cas d'usage changent. Une classification correctement réalisée à la semaine 4 devra être réévaluée lorsqu'un nouvel outil d'IA sera adopté ou qu'un outil existant sera déployé dans un nouveau contexte.
Dernière mise à jour : mai 2026.
Questions fréquentes
Nous utilisons des fonctions d'IA intégrées dans des logiciels achetés — avons-nous des obligations ?
Oui. Les déployeurs de systèmes d'IA à haut risque ont des obligations au titre de l'article 26, même lorsqu'ils utilisent un système tiers. Ces obligations comprennent : utiliser le système uniquement dans sa finalité prévue telle que spécifiée par le fournisseur ; s'assurer qu'une supervision humaine adéquate est en place ; enregistrer le système dans la base de données de l'UE avant de le déployer dans les catégories visées à l'article 49 ; et réaliser des évaluations d'impact sur les droits fondamentaux avant de déployer certains systèmes relevant de l'Annexe III. L'obligation de culture de l'IA prévue à l'article 4 s'applique également, que l'IA soit développée en interne ou achetée auprès d'un fournisseur.
Comment gérer les fonctions d'IA intégrées dans des produits comme Microsoft 365 ou Google Workspace ?
Il s'agit d'outils universels dans lesquels des fonctions d'IA ont été intégrées par un fournisseur soumis à ses propres obligations au titre du Règlement IA. Pour la plupart des fonctions d'IA de productivité (suggestions de rédaction, résumé des e-mails, transcription de réunions), le niveau de risque est minimal ou limité, et vos obligations portent principalement sur la culture de l'IA prévue à l'article 4 et la vérification que vous n'utilisez pas ces outils d'une manière qui constituerait des pratiques interdites. Lorsque ces outils sont utilisés pour générer des résultats influençant des décisions concernant des personnes physiques — évaluations de performances, décisions RH — vous devez évaluer si le cas d'usage spécifique crée un déploiement à haut risque déclenchant les obligations du déployeur prévues à l'article 26.
Quelle est la sanction en cas de non-conformité à l'échéance d'août 2026 pour les systèmes à haut risque ?
Le non-respect des obligations applicables aux systèmes d'IA à haut risque prévues aux articles 9 à 15 est passible d'amendes administratives pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu, en vertu de l'article 99, paragraphe 3. Le déploiement d'un système d'IA interdit au titre de l'article 5 est passible d'amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial. Les autorités nationales compétentes ont été désignées dans l'ensemble des États membres de l'UE et développent leurs capacités de contrôle. Le Bureau européen de l'IA supervise directement les fournisseurs de modèles d'IA à usage général et peut coordonner les actions répressives.
Sources
- EUR-Lex, Règlement (UE) 2024/1689 (Règlement IA UE), texte complet incluant l'Annexe III et l'article 26 : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
- Bureau européen de l'IA, orientations sur la mise en œuvre du Règlement IA : https://digital-strategy.ec.europa.eu/en/policies/european-ai-office
- ENISA, méthodologie d'évaluation des risques liés à l'IA : https://www.enisa.europa.eu/topics/artificial-intelligence
- Comité européen de la protection des données (CEPD), déclaration sur l'interaction entre l'IA et le RGPD : https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-processing-personal-data-context-ai-models_en
Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.
Key takeaways: Débuter avec la conformité au Règlement IA : Guide pour débutants
This article covers: Ce qui déclenche vos obligations au titre du Règlement IA, Étape 1 : Constituer un inventaire des systèmes IA (semaines 1–2), Étape 2 : Classer les risques (semaines 3–4).
- Ce qui déclenche vos obligations au titre du Règlement IA
- Étape 1 : Constituer un inventaire des systèmes IA (semaines 1–2)
- Étape 2 : Classer les risques (semaines 3–4)
- Étape 3 : Démarrer la documentation (semaines 5–8)
- Étape 4 : Culture de l'IA en continu (en permanence)
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing — 2 minutes, every Thursday.