Juridique et réglementaire : Intelligence artificielle – AI ACT : principes fondamentaux et typologie des risques

Le règlement UE 2024/1689, adopté le 13 mars 2024 et publié au Journal officiel de l'Union européenne du 12 juillet 2024, est entré en vigueur le 1er août 2024.

Publié le 15/10/2025 - Mis à jour le 22/10/2025

Ce règlement européen (« AI Act ») constitue le premier cadre législatif au monde qui harmonise au sein de l’Union européenne le développement, la mise sur le marché et l’utilisation des systèmes d’intelligence artificielle.

Les principaux objectifs de ce texte tendent à :

Promouvoir une IA centrée sur l'humain et digne de confiance, tout en assurant le respect des droits fondamentaux des individus consacrés par la Charte des droits fondamentaux de l'Union européenne, incluant la démocratie, l'Etat de droit et la protection de l'environnement ;
Améliorer la compétitivité du marché européen et soutenir l’innovation dans le domaine de l’IA, en instaurant un cadre légal harmonisé.

Champ d’application

Le règlement s’applique aux acteurs publics et privés.
Il concerne aussi bien ceux établis dans l’Union européenne que ceux situés en dehors, dès lors qu’un système d’intelligence artificielle est :

mis sur le marché ;
mis en service ;
ou utilisé dans l’Union européenne.

Sont concernés :

les systèmes d’intelligence artificielle (SIA), conçus pour réaliser une ou plusieurs tâches spécifiques relevant très généralement d’un même domaine ;
les systèmes d’intelligence artificielle à usage général, capables d’exécuter un large éventail de tâches distinctes dans des domaines variés.

Le règlement ne s’applique pas dans les cas suivants :

Aux systèmes d’intelligence artificielle utilisés uniquement à des fins militaires, de défense ou de sécurité nationale ;
Aux systèmes ou modèles d’IA conçus et utilisés exclusivement dans le cadre de la recherche scientifique et du développement expérimental ;
Aux systèmes d’IA rendus publics sous licence libre et ouverte, sauf s’ils présentent un risque élevé ou relèvent des interdictions prévues aux articles 5 ou 50 du règlement ;
À l’utilisation de systèmes d’IA par des personnes physiques à des fins strictement personnelles, c’est-à-dire dans un cadre non professionnel.

Classification des systèmes d’IA : quatre niveaux de risque

Le règlement IA repose sur une approche de régulation proportionnelle aux risques.

Il établit quatre niveaux de risque, chacun assorti d’obligations spécifiques.

Risque inacceptable et SIA strictement interdites

Certaines pratiques d'IA sont jugées intrinsèquement dangereuses et contraires aux valeurs de l'Union européenne, et sont donc strictement interdites (article 5 du règlement IA).

Le développement, la mise sur le marché et l’utilisation des SIA suivantes sont formellement interdites (sauf exception soumise à une autorisation préalable) :

Les SIA employant des techniques subliminales, manipulatrices ou trompeuses visant à altérer substantiellement le comportement d'une personne en portant atteinte à sa capacité de décision éclairée et causant un préjudice important ;
Les SIA destinés à l’exploitation des vulnérabilités de personnes ou de groupes en raison de leur âge, handicap, ou situation socio-économique spécifique, dans le but d'altérer leur comportement et de leur causer un préjudice important ;
La notation sociale des personnes physiques par des acteurs publics ou privés ;
L'évaluation du risque criminel de personnes physiques dans le but de prédire la probabilité qu'elles commettent une infraction, basée uniquement sur le profilage ou l'évaluation de leurs traits de personnalité et caractéristiques ;
La création ou le développement de bases de données de reconnaissance faciale par le moissonnage non ciblé d'images faciales sur internet ou via la vidéosurveillance.

SIA à haut risque

Les SIA à haut risque sont ceux dont l’usage peut entraîner des conséquences graves sur la santé, la sécurité ou les droits fondamentaux (article 6 du règlement IA).

L’annexe III du règlement européen sur l’intelligence artificielle vise certains secteurs sensibles, tels que :

La biométrie : reconnaissance ou catégorisation des personnes à partir de caractéristiques physiques ou comportementales ;
Les infrastructures critiques : systèmes essentiels à la sécurité ou au bon fonctionnement de services vitaux (énergie, transport, etc.) ;
L’éducation et la formation professionnelle : outils d’évaluation des acquis ou de surveillance des examens ;
L’emploi et les ressources humaines : logiciels de recrutement, de gestion des conditions de travail ou de suivi des performances ;
L’accès à des services essentiels : systèmes d’évaluation de l’éligibilité à des prestations sociales, de solvabilité ou de tarification en assurance ;
Migration, asile et contrôle des frontières : systèmes d’IA utilisés pour évaluer les risques liés à l’entrée ou au séjour, examiner les demandes d’asile ou de visa, et détecter, reconnaître ou identifier des personnes, à l’exception de la vérification des documents de voyage ;
L’application de la loi et processus démocratiques : systèmes d’IA utilisés pour le profilage de personnes physiques, pour l’évaluation du risque criminel, et pour l’influence du résultat d’une élection ou du comportement de vote.

Le fournisseur peut néanmoins démontrer, sur la base d’une évaluation des risques, que le système ne présente aucun risque significatif pour la santé, la sécurité ou les droits fondamentaux.

Avant leur mise sur le marché, ces systèmes doivent faire l’objet d’une évaluation de conformité (article 43 du règlement IA).

Les systèmes conformes doivent porter le marquage CE, ou un marquage numérique lorsqu’ils sont distribués électroniquement.

SIA à risque minimal

Les SIA présentant un risque minimal ou inexistant sont ceux dont le risque pour les personnes concernées est minime (article 69 du règlement IA).
Ils ne sont pas soumis à des obligations spécifiques prévues par le règlement , mais seront encadrés par des codes de conduite.

SIA à risque limité

Les SIA ne relevant pas de la catégorie des systèmes à haut risque mais présentant un risque limité sont soumis aux exigences de transparence définies à l’article 52 du règlement IA.

Ces systèmes doivent informer les utilisateurs qu’ils interagissent avec un système d’intelligence artificielle afin de permettre une utilisation éclairée et prévenir tout risque de méprise.

Entrée en vigueur et application progressive

Le règlement IA prévoit une application progressive, détaillée comme suit :

1er août 2024

Entrée en vigueur du règlement IA

2 février 2025

Entrée en application des dispositions visant les systèmes d’IA présentant un risque inacceptable

2 août 2025

Entrée en application générale du règlement, en particulier l’application des dispositions relatives aux systèmes d’IA à haut risque de l’annexe III (biométrie, infrastructures critiques, éducation, emploi, accès aux services publics essentiels, etc.)

2 août 2025

Entrée en application des dispositions relatives aux systèmes d’IA à usage général et à la désignation des autorités compétentes dans chaque État membre

2 août 2026

Entrée en application de l’obligation pour chaque État membre de mettre en place au moins un bac à sable réglementaire

2 août 2027

Entrée en application des dispositions relatives aux systèmes d’IA à haut risque liés aux produits, spécifiés dans l’annexe I (jouets, dispositifs médicaux, etc.)

Formulaire de recherche

Ce règlement européen (« AI Act ») constitue le premier cadre législatif au monde qui harmonise au sein de l’Union européenne le développement, la mise sur le marché et l’utilisation des systèmes d’intelligence artificielle.

Les principaux objectifs de ce texte tendent à :

Promouvoir une IA centrée sur l'humain et digne de confiance, tout en assurant le respect des droits fondamentaux des individus consacrés par la Charte des droits fondamentaux de l'Union européenne, incluant la démocratie, l'Etat de droit et la protection de l'environnement ;

Améliorer la compétitivité du marché européen et soutenir l’innovation dans le domaine de l’IA, en instaurant un cadre légal harmonisé.

Champ d’application

Le règlement s’applique aux acteurs publics et privés.Il concerne aussi bien ceux établis dans l’Union européenne que ceux situés en dehors, dès lors qu’un système d’intelligence artificielle est :

mis sur le marché ;

mis en service ;

ou utilisé dans l’Union européenne.

Sont concernés :

les systèmes d’intelligence artificielle (SIA), conçus pour réaliser une ou plusieurs tâches spécifiques relevant très généralement d’un même domaine ;

les systèmes d’intelligence artificielle à usage général, capables d’exécuter un large éventail de tâches distinctes dans des domaines variés.

Le règlement ne s’applique pas dans les cas suivants :

Aux systèmes d’intelligence artificielle utilisés uniquement à des fins militaires, de défense ou de sécurité nationale ;

Aux systèmes ou modèles d’IA conçus et utilisés exclusivement dans le cadre de la recherche scientifique et du développement expérimental ;

Aux systèmes d’IA rendus publics sous licence libre et ouverte, sauf s’ils présentent un risque élevé ou relèvent des interdictions prévues aux articles 5 ou 50 du règlement ;

À l’utilisation de systèmes d’IA par des personnes physiques à des fins strictement personnelles, c’est-à-dire dans un cadre non professionnel.

Classification des systèmes d’IA : quatre niveaux de risque

Le règlement IA repose sur une approche de régulation proportionnelle aux risques.

Il établit quatre niveaux de risque, chacun assorti d’obligations spécifiques.

Risque inacceptable et SIA strictement interdites

Certaines pratiques d'IA sont jugées intrinsèquement dangereuses et contraires aux valeurs de l'Union européenne, et sont donc strictement interdites (article 5 du règlement IA).

Le développement, la mise sur le marché et l’utilisation des SIA suivantes sont formellement interdites (sauf exception soumise à une autorisation préalable) :

Les SIA employant des techniques subliminales, manipulatrices ou trompeuses visant à altérer substantiellement le comportement d'une personne en portant atteinte à sa capacité de décision éclairée et causant un préjudice important ;

Les SIA destinés à l’exploitation des vulnérabilités de personnes ou de groupes en raison de leur âge, handicap, ou situation socio-économique spécifique, dans le but d'altérer leur comportement et de leur causer un préjudice important ;

La notation sociale des personnes physiques par des acteurs publics ou privés ;

L'évaluation du risque criminel de personnes physiques dans le but de prédire la probabilité qu'elles commettent une infraction, basée uniquement sur le profilage ou l'évaluation de leurs traits de personnalité et caractéristiques ;

La création ou le développement de bases de données de reconnaissance faciale par le moissonnage non ciblé d'images faciales sur internet ou via la vidéosurveillance.

SIA à haut risque

Les SIA à haut risque sont ceux dont l’usage peut entraîner des conséquences graves sur la santé, la sécurité ou les droits fondamentaux (article 6 du règlement IA).

L’annexe III du règlement européen sur l’intelligence artificielle vise certains secteurs sensibles, tels que :

La biométrie : reconnaissance ou catégorisation des personnes à partir de caractéristiques physiques ou comportementales ;

Les infrastructures critiques : systèmes essentiels à la sécurité ou au bon fonctionnement de services vitaux (énergie, transport, etc.) ;

L’éducation et la formation professionnelle : outils d’évaluation des acquis ou de surveillance des examens ;

L’emploi et les ressources humaines : logiciels de recrutement, de gestion des conditions de travail ou de suivi des performances ;

L’accès à des services essentiels : systèmes d’évaluation de l’éligibilité à des prestations sociales, de solvabilité ou de tarification en assurance ;

Migration, asile et contrôle des frontières : systèmes d’IA utilisés pour évaluer les risques liés à l’entrée ou au séjour, examiner les demandes d’asile ou de visa, et détecter, reconnaître ou identifier des personnes, à l’exception de la vérification des documents de voyage ;

L’application de la loi et processus démocratiques : systèmes d’IA utilisés pour le profilage de personnes physiques, pour l’évaluation du risque criminel, et pour l’influence du résultat d’une élection ou du comportement de vote.

Le fournisseur peut néanmoins démontrer, sur la base d’une évaluation des risques, que le système ne présente aucun risque significatif pour la santé, la sécurité ou les droits fondamentaux.

Avant leur mise sur le marché, ces systèmes doivent faire l’objet d’une évaluation de conformité (article 43 du règlement IA).

Les systèmes conformes doivent porter le marquage CE, ou un marquage numérique lorsqu’ils sont distribués électroniquement.

SIA à risque minimal

Les SIA présentant un risque minimal ou inexistant sont ceux dont le risque pour les personnes concernées est minime (article 69 du règlement IA).Ils ne sont pas soumis à des obligations spécifiques prévues par le règlement , mais seront encadrés par des codes de conduite.

SIA à risque limité