EuroComply
Créer un compte
Back to blog
Règlement IA UE 12 min read

Qu'est-ce que le règlement IA de l'UE ? Un guide complet pour les entreprises

What you need to know: Qu'est-ce que le règlement IA de l'UE ? Un guide complet pour les entreprises

Le règlement IA de l'UE est le premier cadre juridique complet au monde régissant l'intelligence artificielle. Ce guide explique ce qu'il contient, à qui il s'applique, ce que signifient les niveaux de risque et ce que votre entreprise doit faire avant l'échéance d'août 2026.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Le règlement IA de l'UE (règlement 2024/1689) est le premier cadre juridique complet au monde régissant l'intelligence artificielle. Il est entré en vigueur le 1er août 2024 et s'applique à toute entreprise qui développe, déploie ou utilise des systèmes d'IA affectant des personnes dans l'Union européenne — quel que soit le lieu d'établissement de cette entreprise.

Ce guide couvre tout ce que vous devez savoir : ce que le règlement exige, à qui il s'applique, comment les systèmes d'IA sont classifiés, quelles sont les échéances et ce qui se passe en cas de non-respect.

Qu'est-ce que le règlement IA de l'UE ?

Le règlement IA de l'UE établit un cadre fondé sur les risques pour l'IA. Plutôt que de traiter tous les systèmes d'IA de la même manière, il les classe selon le niveau de risque qu'ils font peser sur les personnes — et attache à chaque niveau des obligations de conformité différentes.

Le règlement s'applique aux :

  • Fournisseurs — entreprises qui développent et mettent sur le marché de l'UE des systèmes d'IA
  • Déployeurs — entreprises qui utilisent des systèmes d'IA dans leurs opérations (y compris des outils du commerce comme ChatGPT ou Copilot)
  • Importateurs et distributeurs — entreprises qui introduisent sur le marché de l'UE des systèmes d'IA provenant de pays tiers

Si votre entreprise utilise des outils d'IA pour interagir avec des clients, traiter des demandes, trier des candidatures, évaluer des personnes ou prendre des décisions affectant des individus — vous êtes un déployeur et le règlement IA vous est applicable.

Les quatre niveaux de risque

Niveau 1 : IA interdite (Article 5)

Certaines applications d'IA sont purement et simplement interdites. Ces interdictions sont applicables depuis le 2 août 2025 :

  • Notation sociale — systèmes qui évaluent les personnes en fonction de leur comportement social ou de leurs caractéristiques personnelles
  • Identification biométrique en temps réel dans des espaces accessibles au public (avec des exceptions étroites pour les forces de l'ordre)
  • Manipulation subliminale — IA qui exploite des vulnérabilités psychologiques pour modifier un comportement
  • Reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement
  • Catégorisation biométrique visant à déduire des attributs sensibles (race, opinion politique, religion, orientation sexuelle)
  • Police prédictive ciblant des individus sur la base d'un profilage
  • Collecte non ciblée d'images de visages sur Internet ou à partir d'enregistrements de vidéosurveillance

Le déploiement d'un système d'IA interdit expose à des amendes pouvant atteindre 35 M€ ou 7 % du chiffre d'affaires mondial annuel.

Niveau 2 : IA à haut risque (Annexe III)

Les systèmes d'IA à haut risque font face aux exigences les plus strictes. Un système est à haut risque s'il opère dans l'un des huit secteurs réglementés et s'il prend ou influence de manière déterminante des décisions concernant des personnes physiques :

| Secteur | Exemples | |---------|----------| | Biométrie | Identification à distance, reconnaissance des émotions | | Infrastructures critiques | Composants de sécurité dans l'eau, l'énergie, les transports | | Éducation | Admissions, notation, surveillance d'examens | | Emploi | Tri de CV, évaluation des performances, licenciement | | Services essentiels | Notation de crédit, risque assurantiel, prestations sociales | | Forces de l'ordre | Évaluation des risques, analyse de preuves, profilage | | Migration et asile | Évaluation des risques, vérification de documents | | Processus démocratiques | Influence électorale, ciblage d'électeurs |

Les exigences de conformité pour les systèmes à haut risque comprennent :

  • Un système de gestion des risques maintenu tout au long du cycle de vie
  • Des procédures de gouvernance des données pour les données d'entraînement et de validation
  • Une documentation technique (Annexe IV)
  • Une journalisation automatique de l'activité du système
  • La transparence — les utilisateurs doivent être informés qu'ils interagissent avec un système d'IA à haut risque ou qu'ils en sont affectés
  • Une supervision humaine — un être humain doit être en mesure d'intervenir, de neutraliser ou d'arrêter le système
  • Des tests d'exactitude, de robustesse et de cybersécurité
  • Une évaluation de la conformité avant le déploiement (ou un audit par un tiers pour les produits visés à l'Annexe I)

L'échéance pour la conformité des systèmes d'IA à haut risque est le 2 août 2026.

Niveau 3 : IA à risque limité (Article 50)

Les systèmes à risque limité ne sont soumis qu'à des obligations de transparence :

  • Les chatbots et l'IA conversationnelle doivent informer les utilisateurs qu'ils interagissent avec une machine
  • Les contenus générés par l'IA (images, audio, vidéo, texte) doivent être clairement étiquetés comme synthétiques
  • Les hypertrucages (deepfakes) doivent être signalés comme créés ou manipulés artificiellement
  • Les systèmes de reconnaissance des émotions doivent notifier les personnes analysées

La plupart des outils d'IA commerciaux — bots d'assistance client, générateurs de contenu, moteurs de recommandation — relèvent de ce niveau.

Niveau 4 : IA à risque minimal

Tous les autres systèmes d'IA. Aucune obligation contraignante au-delà de l'exigence générale de compétence en IA. Des codes de conduite volontaires s'appliquent. Ce niveau couvre la majorité des cas d'usage de l'IA : filtres anti-spam, recherche assistée par IA, moteurs de recommandation, détection de fraude (hors secteur financier) et outils similaires.

Le calendrier

| Date | Événement | |------|-----------| | 1er août 2024 | Entrée en vigueur du règlement | | 2 février 2025 | Compétence en IA (Article 4) — déjà en vigueur. Toutes les entreprises déployant l'IA doivent s'assurer que leur personnel dispose d'une compétence suffisante en matière d'IA | | 2 août 2025 | Pratiques interdites et obligations GPAI — déjà en vigueur. Huit catégories d'IA sont interdites. Les fournisseurs d'IA à usage général font face à de nouvelles obligations de documentation | | 2 août 2026 | Échéance pour les systèmes d'IA à haut risque. Conformité totale requise pour tous les systèmes visés à l'Annexe III | | 2 août 2027 | Application complète pour l'IA intégrée dans des produits couverts par la législation d'harmonisation de l'UE (dispositifs médicaux, machines, jouets) |

Qu'est-ce que la compétence en IA (Article 4) ?

Depuis le 2 février 2025, toute organisation qui fournit ou déploie des systèmes d'IA doit s'assurer que son personnel dispose d'une compétence suffisante en matière d'IA — définie comme les compétences, les connaissances et la compréhension nécessaires pour utiliser des systèmes d'IA de manière éclairée.

Cette obligation s'applique aux employés qui utilisent l'IA dans leur travail quotidien. Elle n'exige pas de certification, mais requiert une formation documentée. Les domaines clés comprennent :

  • Comprendre ce que font les systèmes d'IA et comment ils prennent des décisions
  • Connaître les limites et les risques des outils d'IA utilisés
  • Reconnaître quand une production de l'IA nécessite une vérification humaine
  • Comprendre les obligations en matière de protection des données lors de l'utilisation de l'IA

L'UE n'a pas imposé de format spécifique ; ainsi, une intégration structurée, des modules d'e-learning ou des briefings documentés satisfont tous à l'exigence.

Quelles sont les amendes ?

| Violation | Amende maximale | |-----------|----------------| | Pratiques d'IA interdites | 35 M€ ou 7 % du chiffre d'affaires mondial annuel | | Violations des obligations pour l'IA à haut risque | 15 M€ ou 3 % du chiffre d'affaires mondial annuel | | Fourniture d'informations inexactes | 7,5 M€ ou 1,5 % du chiffre d'affaires mondial annuel |

Les amendes sont appliquées au montant le plus élevé. Pour une PME réalisant un chiffre d'affaires de 10 M€, 7 % représentent 700 000 € — un risque significatif.

Les États membres mettent en place des autorités nationales chargées de l'application du règlement. En France, la mise en place d'une autorité dédiée est en cours. La coordination de l'application au niveau de l'UE est assurée par le Bureau européen de l'IA.

Qu'est-ce que cela signifie pour les PME ?

La plupart des PME sont des déployeurs, non des fournisseurs. Elles achètent et utilisent des outils d'IA plutôt que d'en développer. Les obligations des déployeurs sont plus limitées que celles des fournisseurs, mais elles sont réelles :

  1. Compétence en IA — déjà requise
  2. Évaluation de l'impact sur les droits fondamentaux — pour les systèmes à haut risque dans les organismes publics ou les secteurs réglementés
  3. Supervision humaine — pour tout système d'IA à haut risque en cours d'utilisation
  4. Transparence envers les utilisateurs — pour l'IA à risque limité
  5. Déclaration d'incidents — les incidents graves impliquant une IA à haut risque doivent être signalés aux autorités nationales

La première étape concrète pour toute PME est un inventaire des systèmes d'IA : lister tous les outils d'IA utilisés, les classifier en vertu du règlement et identifier lesquels (le cas échéant) sont à haut risque. La plupart des PME constateront que leurs outils relèvent des niveaux limité ou minimal — mais cela doit être confirmé, non présumé.

Comment commencer

  1. Inventorier vos outils d'IA — lister chaque système d'IA que votre entreprise utilise ou déploie
  2. Classifier chaque outil — utiliser la liste de l'Annexe III pour vérifier l'applicabilité au haut risque
  3. Former votre personnel — satisfaire l'exigence de compétence en IA de l'Article 4
  4. Documenter vos systèmes à haut risque — si certains sont concernés, commencer à constituer la documentation de l'Annexe IV
  5. Établir une feuille de route de conformité — le 2 août 2026 est l'échéance pour le haut risque ; commencez maintenant

Le règlement IA n'est pas conçu pour empêcher les entreprises d'utiliser l'IA. Il est conçu pour s'assurer que l'IA affectant la vie des personnes est utilisée de manière responsable, transparente et sous supervision humaine. Pour la plupart des PME, la conformité est atteignable — elle requiert de la documentation et des processus, pas une équipe de conformité dédiée.

Résumé

Le règlement IA de l'UE est la réglementation technologique la plus importante depuis le RGPD. Il s'applique à toute entreprise utilisant l'IA dans l'UE ou affectant l'UE. La classification des risques est la première étape : déterminer si vos systèmes d'IA sont interdits, à haut risque, à risque limité ou à risque minimal, puis élaborer votre programme de conformité en conséquence. L'échéance pour le haut risque est le 2 août 2026 — soit environ 15 mois après la date de publication de ce guide.


Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.

Foire aux questions

À qui s'applique le règlement IA de l'UE ?

Le règlement IA de l'UE s'applique à toute entreprise qui développe, déploie ou utilise des systèmes d'IA affectant des personnes dans l'Union européenne, quel que soit le lieu d'établissement de l'entreprise. En vertu de l'Article 2, cela inclut les fournisseurs qui mettent des systèmes d'IA sur le marché de l'UE, les déployeurs qui utilisent des systèmes d'IA dans leurs opérations, ainsi que les importateurs ou distributeurs qui introduisent l'IA dans l'UE. Une entreprise dont le siège est aux États-Unis qui utilise un outil d'IA pour présélectionner des candidats à l'emploi dans l'UE est un déployeur soumis au règlement.

Qu'est-ce qu'un système d'IA à haut risque au sens du règlement IA de l'UE ?

Les systèmes d'IA à haut risque sont définis par l'Annexe III du règlement et couvrent huit secteurs : biométrie, infrastructures critiques, éducation, emploi, services privés et publics essentiels, forces de l'ordre, gestion des migrations et de l'asile, et administration de la justice et processus démocratiques. Un système est à haut risque s'il opère dans l'un de ces secteurs et prend ou influence de manière déterminante des décisions concernant des personnes physiques. Les outils de tri de CV et les systèmes de notation de crédit en sont des exemples courants. Les systèmes à haut risque doivent satisfaire des exigences comprenant un système de gestion des risques, des contrôles de gouvernance des données, une documentation technique en vertu de l'Annexe IV, des mécanismes de supervision humaine et une évaluation de la conformité — le tout avant le déploiement, avec une échéance de conformité fixée au 2 août 2026 en vertu de l'Article 6.

Quelles sont les amendes pour non-conformité avec le règlement IA de l'UE ?

La structure des amendes du règlement IA comporte trois niveaux. Le déploiement d'une pratique d'IA interdite en vertu de l'Article 5 — telle que la notation sociale ou l'identification biométrique en temps réel dans des espaces publics — expose à des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé. Les violations des obligations pour l'IA à haut risque exposent à des amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel. La fourniture d'informations incorrectes ou trompeuses aux autorités expose à des amendes pouvant atteindre 7,5 millions d'euros ou 1,5 % du chiffre d'affaires mondial. Pour les entreprises de plus petite taille, le plafond en pourcentage produit souvent un montant supérieur au maximum absolu.

Sources

Key takeaways: Qu'est-ce que le règlement IA de l'UE ? Un guide complet pour les entreprises

This article covers: Qu'est-ce que le règlement IA de l'UE ?, Les quatre niveaux de risque, Le calendrier.

  • Qu'est-ce que le règlement IA de l'UE ?
  • Les quatre niveaux de risque
  • Le calendrier
  • Qu'est-ce que la compétence en IA (Article 4) ?
  • Quelles sont les amendes ?
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.