Sommaire
L'EU AI Act est la première réglementation mondiale sur l'IA, avec des sanctions pouvant atteindre 35 M€. Découvrez les catégories de risque, les échéances de conformité (2025-2027) et les exigences pour les systèmes d'IA à haut risque.
Réponse rapide : L' EU AI Act (règlement 2024/1689) est le premier cadre juridique complet au monde pour réguler l'intelligence artificielle en fonction des niveaux de risque. Il classe les systèmes d'IA en quatre catégories (interdit, haut risque, risque limité et risque minimal), avec des sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial en cas de non-conformité.
Qu'est-ce que l'EU AI Act
L'EU Artificial Intelligence Act est un cadre réglementaire fondé sur le risque, entré en vigueur le 1er août 2024, qui établit des règles harmonisées pour le développement, le déploiement et l'utilisation de l'IA dans les 27 États membres de l'UE. Le règlement s'applique de manière extraterritoriale à toute organisation dont les systèmes d'IA affectent des citoyens ou des entreprises de l'UE, quel que soit le lieu d'établissement du fournisseur.
Le règlement attribue les systèmes d'IA à quatre catégories de risque, chacune assortie d'obligations spécifiques. Les pratiques d'IA à risque inacceptable (comme le scoring social et la reconnaissance des émotions sur le lieu de travail) sont interdites. Les systèmes à haut risque exigent des évaluations de conformité, une inscription dans la base de données de l'UE et une surveillance continue. L'IA à risque limité doit respecter des exigences de transparence. Les systèmes à risque minimal ne sont soumis à aucune obligation particulière.
Le règlement couvre les fournisseurs (développeurs), les déployeurs (utilisateurs), les importateurs, les distributeurs et les représentants autorisés. Les modèles d'IA à usage général (GPAI) comme ChatGPT et GPT-4 relèvent d'un cadre distinct, entré en vigueur le 2 août 2025.
Pourquoi l'EU AI Act est crucial en 2025
Les chiffres montrent une urgence de mise en conformité :
- Sanctions maximales de 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé, pour les pratiques d'IA interdites
- Sanctions maximales de 15 millions d'euros ou 3 % du chiffre d'affaires mondial pour les violations relatives aux modèles GPAI
- 2 août 2026 : date limite de conformité complète pour la plupart des dispositions (dans 18 mois)
- 2 août 2027 : délai prolongé pour les systèmes d'IA à haut risque intégrés à des produits réglementés
- Plus de 150 000 utilisateurs mensuels consultent les ressources sur l'EU AI Act, signe d'une préoccupation généralisée du secteur
- Augmentation de 21,3 % des mentions législatives liées à l'IA dans 75 pays depuis 2023, l'EU AI Act servant de référence mondiale
Dispositions déjà applicables (au 29 septembre 2025) :
- Pratiques d'IA interdites (depuis le 2 février 2025)
- Exigences relatives aux modèles GPAI (depuis le 2 août 2025)
- Obligations de culture IA pour les déployeurs
Les organisations qui utilisent l'IA pour des décisions en matière d'emploi, de scoring de crédit, d'application de la loi, d'infrastructures critiques ou d'éducation doivent se préparer à une classification à haut risque d'ici août 2027.
Catégories de risque de l'EU AI Act : comparaison complète
| Niveau de risque | Exemples | Exigences | Sanctions | Application |
|---|---|---|---|---|
| Risque inacceptable INTERDIT | Systèmes de scoring social, identification biométrique en temps réel dans l'espace public, reconnaissance des émotions sur le lieu de travail ou dans l'éducation, manipulation subliminale | Interdiction totale ; impossible de développer, déployer ou utiliser dans l'UE | 35 M ou 7 % du CA mondial | En vigueur depuis le 2 fév. 2025 |
| Haut risque ÉLEVÉ | IA dans les infrastructures critiques, l'emploi/RH, le scoring de crédit, l'application de la loi, l'éducation, les services essentiels | Système de gestion des risques, documentation technique, transparence, supervision humaine, évaluation de conformité, inscription dans la base de données de l'UE | 35 M ou 7 % du CA mondial | 2 août 2027 (2026 pour les autorités publiques) |
| Risque limité LIMITÉ | Chatbots, deepfakes, reconnaissance des émotions (hors lieu de travail), générateurs de contenu synthétique | Obligations de transparence : informer les utilisateurs qu'ils interagissent avec une IA, étiqueter clairement le contenu généré par l'IA | 15 M ou 3 % du CA mondial | 2 août 2026 |
| Risque minimal MINIMAL | Jeux vidéo avec IA, filtres anti-spam, moteurs de recommandation, systèmes de gestion des stocks | Aucune obligation spécifique (codes de conduite volontaires recommandés) | N/A | Aucune exigence |
Les modèles d'IA à usage général comme ChatGPT, Claude, GPT-4 et Gemini doivent maintenir une documentation technique, fournir des instructions d'utilisation, respecter la directive européenne sur le droit d'auteur et publier des résumés des données d'entraînement. Les modèles GPAI à impact élevé présentant un risque systémique doivent réaliser des évaluations de modèles, des tests adversariaux, signaler les incidents graves et garantir des protections en matière de cybersécurité.
Exigences pour les systèmes d'IA à haut risque
Les organisations qui déploient une IA à haut risque doivent mettre en place :
- Système de gestion des risques : identification, analyse, estimation et atténuation continues des risques liés à l'IA tout au long du cycle de vie
- Gouvernance des données : les jeux de données d'entraînement, de validation et de test doivent être pertinents, représentatifs et exempts d'erreurs
- Documentation technique : dossiers complets sur la conception, le développement, la méthodologie d'entraînement et les indicateurs de performance
- Capacités de journalisation : enregistrement automatique des événements pour la traçabilité et la surveillance post-commercialisation
- Transparence : les instructions d'utilisation doivent être claires, exactes et accessibles aux déployeurs
- Supervision humaine : mesures permettant aux humains de comprendre, superviser et intervenir dans le fonctionnement du système d'IA
- Normes de précision : niveaux appropriés de précision, de robustesse et de cybersécurité
- Évaluation de conformité : évaluation par un tiers avant la mise sur le marché
- Inscription dans la base de données de l'UE : inscription obligatoire avant le déploiement (base opérationnelle à partir du 2 août 2026)
- Surveillance post-commercialisation : suivi continu des performances et des risques du système d'IA
FAQ
Qui est concerné par l'EU AI Act
Toute organisation dont les systèmes d'IA sont mis sur le marché de l'UE ou dont les résultats sont utilisés dans l'UE, quel que soit le lieu d'établissement de son siège. Cela inclut les fournisseurs (développeurs), les déployeurs (utilisateurs professionnels de l'IA), les importateurs, les distributeurs et les fabricants de produits. Les entreprises d'Amérique du Nord, d'Asie, du Royaume-Uni et de Suisse qui déploient une IA utilisée par des citoyens ou des entreprises de l'UE doivent se conformer. Les petites et moyennes entreprises bénéficient de sanctions proportionnées.
Quand les différentes dispositions de l'EU AI Act deviennent-elles applicables
Pratiques d'IA interdites : 2 février 2025 (déjà en vigueur). Exigences relatives aux modèles GPAI : 2 août 2025 (déjà en vigueur). Obligations de transparence et culture IA : 2 août 2026. Systèmes d'IA à haut risque : 2 août 2027 (période de transition de 36 mois). Autorités publiques utilisant une IA à haut risque : 2 août 2026. Les organisations doivent entamer leur préparation dès maintenant, car les évaluations de conformité des systèmes à haut risque exigent un délai substantiel.
Quelles sont les sanctions en cas de violation de l'EU AI Act
Pratiques d'IA interdites : 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial (selon le montant le plus élevé). Non-conformité aux obligations relatives à l'IA à haut risque : 15 millions d'euros ou 3 % du chiffre d'affaires mondial. Violations relatives aux modèles GPAI : 15 millions d'euros ou 3 % du chiffre d'affaires mondial. Fourniture d'informations incorrectes ou trompeuses : 7,5 millions d'euros ou 1 % du chiffre d'affaires mondial. Les PME et les startups bénéficient de sanctions réduites. Les autorités de surveillance nationales fixent le montant final en fonction de la gravité de la violation, de la taille de l'entreprise et des infractions antérieures.
Comment l'EU AI Act affecte-t-il les fournisseurs d'IA tiers
Les organisations qui utilisent des systèmes d'IA tiers restent responsables de la conformité en tant que déployeurs. Si vous utilisez l'IA pour des décisions en matière d'emploi, de scoring de crédit ou d'autres usages à haut risque, vous devez vous assurer que le fournisseur d'IA fournit la documentation nécessaire, que le système respecte les exigences de l'UE et que vous mettez en place une supervision humaine adéquate. Les programmes TPRM doivent désormais inclure une vérification de la conformité à l'AI Act pour tous les fournisseurs d'IA. Supplier Shield vous aide à évaluer la conformité de vos fournisseurs à l'AI Act dans le cadre d'une gestion globale des risques tiers.
Qu'est-ce qu'un système d'IA à haut risque
Un système d'IA est considéré à haut risque s'il : (1) constitue un composant de sécurité dans des produits couverts par la législation européenne en matière de sécurité (jouets, aviation, automobiles, dispositifs médicaux, ascenseurs) nécessitant une évaluation de conformité par un tiers, OU (2) relève de l'une des 8 domaines spécifiques listés à l'annexe III : infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice ou identification biométrique. Les systèmes effectuant des tâches préparatoires ou détectant des schémas sans remplacer la prise de décision humaine peuvent être exemptés. Le profilage des individus est toujours considéré comme à haut risque.
En résumé
L'EU AI Act est la première réglementation complète au monde sur l'IA, imposant des exigences obligatoires selon les niveaux de risque. Avec les interdictions déjà appliquées, les exigences GPAI actives depuis août 2025 et les échéances de conformité complète qui approchent (2026-2027), les organisations doivent immédiatement évaluer leurs systèmes d'IA, classifier les niveaux de risque et mettre en place les structures de gouvernance requises.
La non-conformité expose à de lourdes sanctions financières, jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial. La portée extraterritoriale du règlement signifie que les entreprises du monde entier utilisant une IA qui affecte des citoyens de l'UE doivent se conformer, faisant de ce texte la norme mondiale de facto en matière d'IA.
Supplier Shield aide les organisations européennes à garantir que leurs fournisseurs d'IA respectent l'EU AI Act grâce à des évaluations automatisées, une surveillance continue et une gestion documentaire ; des éléments essentiels pour répondre aux obligations de gestion des risques liés à l'IA tierce, tant au titre de l'AI Act que de NIS2.
Dernière mise à jour : 29 septembre 2025
?? Quel est votre niveau de risque IA
Répondez à 5 questions rapides pour découvrir vos exigences de conformité à l'EU AI Act
1 sur 5
Votre système d'IA prend-il des décisions concernant des personnes
<!-- Question 2 -->
<div class="quiz-card" data-question="2">
<h3>Votre IA utilise-t-elle des données biométriques </h3>
<div class="options">
<button class="option-btn" data-score="prohibited" data-next="3">
<span class="icon">•</span>
<div class="option-content">
<strong>Oui : reconnaissance faciale en temps réel dans l'espace public</strong>
<small>Surveillance publique, identification de masse</small>
</div>
</button>
<button class="option-btn" data-score="prohibited" data-next="3">
<span class="icon">•</span>
<div class="option-content">
<strong>Oui : détection des émotions au travail ou à l'école</strong>
<small>Surveillance en entreprise, évaluation des élèves</small>
</div>
</button>
<button class="option-btn" data-score="high" data-next="3">
<span class="icon">•</span>
<div class="option-content">
<strong>Oui, mais pour la sécurité ou le contrôle d'accès</strong>
<small>Accès aux bâtiments, déverrouillage d'appareils</small>
</div>
</button>
<button class="option-btn" data-score="minimal" data-next="3">
<span class="icon">•</span>
<div class="option-content">
<strong>Aucune donnée biométrique utilisée</strong>
<small>Texte, chiffres, données standard uniquement</small>
</div>
</button>
</div>
</div>
<!-- Question 3 -->
<div class="quiz-card" data-question="3">
<h3>Dans quel secteur votre IA opère-t-elle </h3>
<div class="options">
<button class="option-btn" data-score="high" data-next="4">
<span class="icon">•</span>
<div class="option-content">
<strong>Infrastructures critiques</strong>
<small>Énergie, transport, eau, santé</small>
</div>
</button>
<button class="option-btn" data-score="high" data-next="4">
<span class="icon">•</span>
<div class="option-content">
<strong>Application de la loi ou justice</strong>
<small>Police, tribunaux, systèmes juridiques</small>
</div>
</button>
<button class="option-btn" data-score="limited" data-next="4">
<span class="icon">•</span>
<div class="option-content">
<strong>Services commerciaux ou d'entreprise</strong>
<small>Marketing, ventes, opérations</small>
</div>
</button>
<button class="option-btn" data-score="minimal" data-next="4">
<span class="icon">•</span>
<div class="option-content">
<strong>Divertissement grand public</strong>
<small>Jeux, contenu, recommandations</small>
</div>
</button>
</div>
</div>
<!-- Question 4 -->
<div class="quiz-card" data-question="4">
<h3>Les humains peuvent-ils contester les décisions de l'IA </h3>
<div class="options">
<button class="option-btn" data-score="minimal" data-next="5">
<span class="icon">•</span>
<div class="option-content">
<strong>Oui : contrôle humain total en permanence</strong>
<small>L'humain reste toujours dans la boucle</small>
</div>
</button>
<button class="option-btn" data-score="limited" data-next="5">
<span class="icon">•</span>
<div class="option-content">
<strong>Oui : l'humain peut examiner et contester</strong>
<small>L'humain supervise la boucle</small>
</div>
</button>
<button class="option-btn" data-score="high" data-next="5">
<span class="icon">•</span>
<div class="option-content">
<strong>Limité : uniquement dans certains cas</strong>
<small>L'humain est hors de la boucle</small>
</div>
</button>
<button class="option-btn" data-score="prohibited" data-next="5">
<span class="icon">•</span>
<div class="option-content">
<strong>Non : décisions entièrement automatisées</strong>
<small>Aucune intervention humaine possible</small>
</div>
</button>
</div>
</div>
<!-- Question 5 -->
<div class="quiz-card" data-question="5">
<h3>Comment votre IA affecte-t-elle les individus </h3>
<div class="options">
<button class="option-btn" data-score="high" data-next="result">
<span class="icon">•</span>
<div class="option-content">
<strong>Détermine l'accès aux services essentiels</strong>
<small>Prestations, santé, éducation, logement</small>
</div>
</button>
<button class="option-btn" data-score="high" data-next="result">
<span class="icon">•</span>
<div class="option-content">
<strong>Évalue des caractéristiques personnelles</strong>
<small>Performance, comportement, prédictions</small>
</div>
</button>
<button class="option-btn" data-score="limited" data-next="result">
<span class="icon">•</span>
<div class="option-content">
<strong>Influence les choix sans décider</strong>
<small>Recommandations, suggestions</small>
</div>
</button>
<button class="option-btn" data-score="minimal" data-next="result">
<span class="icon">•</span>
<div class="option-content">
<strong>Impact minimal sur les individus</strong>
<small>Opérations back-end, automatisation</small>
</div>
</button>
</div>
</div>
<!-- Results Screen -->
<div class="quiz-card result-card" data-question="result">
<div class="result-content" id="resultContent">
<!-- Results injected by JavaScript -->
</div>
</div>
Sources :
- EU Artificial Intelligence Act (texte officiel)
- https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- Source principale pour toutes les dispositions
- Synthèse du Parlement européen sur l'AI Act
- https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence
- Catégories de risque, calendrier d'application
- Calendrier de mise en uvre de l'EU AI Act
- https://artificialintelligenceact.eu/implementation-timeline/
- Dates d'application détaillées par disposition
- Synthèse de haut niveau de l'EU AI Act
- https://artificialintelligenceact.eu/high-level-summary/
- Classifications de risque, aperçu des obligations
- Calendrier EU AI Act (Goodwin Law)
- https://www.goodwinlaw.com/en/insights/publications/2024/10/insights-technology-aiml-eu-ai-act-implementation-timeline
- Échéances de conformité, montants des sanctions
- Analyse EU AI Act (Jones Day, février 2025)
- https://www.jonesday.com/en/insights/2025/02/eu-ai-act-first-rules-take-effect-on-prohibited-ai-systems
- Pratiques interdites, détails sur l'application
- Guide de conformité GPAI (Greenberg Traurig, juillet 2025)
- https://www.gtlaw.com/en/insights/2025/7/eu-ai-act-key-compliance-considerations-ahead-of-august-2025
- Exigences relatives aux modèles GPAI
- Cadre juridique EU AI Act (White & Case)
- https://www.whitecase.com/insight-alert/long-awaited-eu-ai-act-becomes-law-after-publication-eus-official-journal
- Détails de la publication officielle, 12 juillet 2024
- Article 99 : Sanctions (texte officiel)
- https://artificialintelligenceact.eu/article/99/
- Structure détaillée des sanctions
- État des lieux EU AI Act 2025 (BSR)
- https://www.bsr.org/en/blog/the-eu-ai-act-where-do-we-stand-in-2025
- État actuel de l'application
Vous souhaitez appliquer cela à votre écosystème fournisseurs ? Découvrez la plateforme en action et cartographiez vos principaux risques fournisseurs en direct lors d'une présentation.