FAQ Complète IA Act : 100+ Questions

L’IA Act (officiellement Règlement UE 2024/1689) est le premier cadre réglementaire mondial dédié à l’intelligence artificielle. Adopté le 13 juin 2024, il établit des règles harmonisées pour le développement, la mise sur le marché et l’utilisation des systèmes d’IA dans toute l’Union Européenne. Son approche est basée sur les niveaux de risque : plus un système IA est risqué, plus les obligations sont strictes.

L’UE a créé l’IA Act pour trois raisons principales : 1) Protéger les citoyens contre les utilisations abusives de l’IA (manipulation, discrimination), 2) Harmoniser les règles dans les 27 États membres pour éviter la fragmentation, 3) Positionner l’Europe comme leader mondial de l’IA de confiance et créer un avantage concurrentiel.

C’est un règlement, ce qui signifie qu’il s’applique directement dans tous les États membres sans transposition nationale. Contrairement à une directive, il n’y a pas de marge d’interprétation : les mêmes règles s’appliquent en France, en Allemagne, en Italie et dans tous les pays de l’UE.

L’IA Act s’applique à tous les acteurs de la chaîne de valeur IA : les fournisseurs (qui développent), les déployeurs (qui utilisent), les importateurs et distributeurs. Il concerne aussi les entreprises hors UE dont les systèmes IA sont utilisés dans l’Union. En pratique, presque toutes les entreprises utilisant l’IA sont concernées.

Un système d’IA est défini comme un système basé sur une machine qui fonctionne avec différents niveaux d’autonomie, qui peut s’adapter après déploiement, et qui génère des sorties (prédictions, contenus, recommandations, décisions) influençant des environnements physiques ou virtuels. Cette définition est très large et inclut le machine learning, les systèmes experts et l’IA générative.

Oui, l’IA Act s’applique à toutes les entreprises, quelle que soit leur taille. Cependant, des mesures d’accompagnement sont prévues pour les PME : bacs à sable réglementaires, guides simplifiés, et des sanctions proportionnées. Les obligations restent les mêmes, mais les autorités tiendront compte des moyens de l’entreprise.

Non. L’IA Act concerne toutes les entreprises qui utilisent des systèmes IA, pas seulement celles qui les développent. Une banque utilisant l’IA pour le scoring crédit, un hôpital utilisant l’IA diagnostic, ou une entreprise utilisant ChatGPT sont tous concernés en tant que « déployeurs ».

L’IA Act est entré en vigueur le 1er août 2024, mais son application est progressive. Les interdictions s’appliquent dès février 2025, l’obligation de formation (Article 4) le 2 août 2025, les systèmes à haut risque le 2 août 2026, et l’ensemble du règlement au plus tard le 2 août 2027.

La première échéance critique est le 2 février 2025 pour l’interdiction des pratiques prohibées (manipulation subliminale, scoring social, reconnaissance faciale temps réel non autorisée). La deuxième échéance majeure est le 2 août 2025 pour l’obligation de formation Article 4.

L’Article 4 entre en vigueur le 2 août 2025. À cette date, tous les fournisseurs et déployeurs de systèmes IA doivent garantir que leur personnel a un niveau de « maîtrise suffisante » de l’IA. Cela signifie que les formations doivent être terminées avant cette date.

Les obligations pour les systèmes à haut risque s’appliquent à partir du 2 août 2026. Cela inclut la documentation technique complète, les tests de conformité, le marquage CE, et l’enregistrement dans la base de données européenne.

Oui, l’IA Act prévoit une mise en œuvre progressive sur 3 ans (2024-2027). Les systèmes IA déjà sur le marché avant les dates d’application bénéficient de délais supplémentaires pour se conformer. Cependant, les nouvelles mises sur le marché doivent être conformes dès les dates d’entrée en vigueur.

L’IA Act définit 4 niveaux : 1) Risque inacceptable (interdit), 2) Haut risque (obligations strictes), 3) Risque limité (transparence), 4) Risque minimal (libre). La classification dépend de l’usage du système, pas de la technologie elle-même.

Sont interdits : la manipulation subliminale, l’exploitation des vulnérabilités (enfants, handicap), le scoring social par les autorités, la reconnaissance faciale temps réel dans l’espace public (sauf exceptions), la catégorisation biométrique sensible, et la reconnaissance émotionnelle au travail/école.

Un système à haut risque est soit un composant de sécurité d’un produit réglementé (dispositif médical, jouet, véhicule), soit un système utilisé dans les domaines listés à l’Annexe III : RH/recrutement, éducation, accès aux services essentiels (crédit, assurance), justice, migration, infrastructures critiques.

Vérifiez deux critères : 1) Votre système est-il un composant de sécurité d’un produit déjà réglementé ? 2) Est-il utilisé dans un des domaines de l’Annexe III (RH, santé, crédit, éducation…) ? Si oui à l’une des questions, il est probablement à haut risque. En cas de doute, faites une analyse détaillée ou consultez un expert.

En général, non. Les chatbots sont classés en « risque limité » avec une obligation de transparence (informer l’utilisateur qu’il interagit avec une IA). Cependant, un chatbot utilisé pour des décisions à fort impact (recrutement, diagnostic médical) pourrait basculer en haut risque selon son usage.

Oui. L’IA générative est soumise à des obligations de transparence (identifier les contenus générés par IA) et les « modèles à usage général » (GPAI) comme GPT-4 ont des obligations spécifiques (documentation, droits d’auteur). Les fournisseurs de GPAI « à risque systémique » ont des obligations renforcées.

Les fournisseurs (développeurs) de systèmes à haut risque doivent : établir un système de gestion des risques, garantir la qualité des données, rédiger une documentation technique complète, implémenter la journalisation automatique, assurer la surveillance humaine, et obtenir la conformité CE.

Les déployeurs (utilisateurs professionnels) doivent : vérifier que le système a le marquage CE, utiliser le système conformément aux instructions, assurer la surveillance humaine, informer les personnes concernées, et signaler les incidents graves. Ils doivent aussi garantir la formation de leur personnel (Article 4).

L’IA Act n’impose pas explicitement un « AI Officer » comme le RGPD impose un DPO. Cependant, il est fortement recommandé de désigner une personne responsable de la conformité IA, surtout pour les systèmes à haut risque. Certaines entreprises créent un « Chief AI Officer » ou confient cette mission au DPO ou au DSI.

La surveillance humaine (Article 14) signifie qu’un humain doit pouvoir superviser, comprendre et intervenir sur les décisions d’un système à haut risque. Concrètement : des alertes en cas d’anomalie, la possibilité de stopper le système, et des humains formés pour interpréter les sorties de l’IA.

Pour les systèmes à haut risque, une documentation technique complète est requise : description du système, données d’entraînement, architecture, tests de performance, mesures de gestion des risques, instructions d’utilisation. Cette documentation doit être conservée 10 ans et présentable aux autorités.

Les sanctions varient selon la gravité : 35 millions d’euros ou 7% du CA mondial pour les pratiques interdites, 15 millions ou 3% du CA pour les systèmes à haut risque non conformes, 7,5 millions ou 1,5% du CA pour les informations incorrectes fournies aux autorités.

Chaque État membre doit désigner une ou plusieurs autorités nationales compétentes. En France, ce sera probablement la CNIL (en lien avec la Défenseure des droits). Au niveau européen, le Bureau européen de l’IA (AI Office) coordonne et supervise les modèles à usage général.

Oui. L’IA Act prévoit des plafonds réduits pour les PME et start-ups : 3% du CA pour les infractions les plus graves (au lieu de 7%). Les autorités doivent aussi tenir compte des moyens de l’entreprise et de sa bonne foi dans l’application des sanctions.

Oui. Les pratiques interdites sont sanctionnables dès février 2025. L’obligation de formation (Article 4) est sanctionnable dès août 2025. Seules les obligations liées aux systèmes à haut risque attendent août 2026.

Les autorités pourront effectuer des audits, demander l’accès à la documentation technique, aux données d’entraînement, et au code source. Elles pourront aussi réaliser des tests sur les systèmes et exiger des corrections. Les systèmes à haut risque seront enregistrés dans une base de données européenne facilitant les contrôles.

Oui. L’Article 4 impose que les fournisseurs et déployeurs garantissent un niveau de « maîtrise suffisante » (AI literacy) pour tout le personnel impliqué dans l’IA. Cette obligation s’applique à partir du 2 août 2025 et concerne toutes les entreprises utilisant l’IA.

Tous les profils impliqués dans l’IA : développeurs, data scientists, chefs de produit IA, managers supervisant des équipes IA, acheteurs de solutions IA, utilisateurs finaux de systèmes à haut risque, membres des comités d’éthique, et la direction. L’étendue dépend du rôle de chacun.

L’IA Act ne définit pas un programme précis, mais exige une formation adaptée au contexte (niveau de risque, rôle). Les formations certifiantes avec attestation sont recommandées pour prouver la conformité. Les formations couvrant les obligations IA Act, les niveaux de risque, et les bonnes pratiques sont les plus pertinentes.

Les formations IA Act varient de quelques heures (sensibilisation basique) à plusieurs jours (formation approfondie pour les profils techniques). Une formation complète pour un utilisateur professionnel dure généralement entre 4 et 8 heures. Les profils techniques ou juridiques peuvent nécessiter plus.

Oui. La formation IA Act est éligible au financement OPCO (Opérateur de Compétences) dans la plupart des cas. Elle peut être prise en charge à 100% selon votre convention collective et votre OPCO. Vérifiez auprès de votre OPCO les modalités de prise en charge.

L’IA Act ne précise pas de fréquence de recyclage, mais les bonnes pratiques recommandent une mise à jour annuelle ou à chaque évolution significative du règlement ou des systèmes IA utilisés. Un recyclage tous les 18-24 mois est raisonnable.

Oui, généralement. Les systèmes IA utilisés pour le diagnostic, le pronostic, ou les décisions de traitement sont à haut risque. Les dispositifs médicaux intégrant de l’IA sont également concernés via la réglementation des dispositifs médicaux (MDR/IVDR) combinée à l’IA Act.

Oui. Tous les systèmes IA utilisés pour le recrutement, la sélection de candidats, le tri de CV, les entretiens vidéo automatisés, ou les décisions d’embauche sont classés à haut risque. Les obligations de transparence, de non-discrimination et de surveillance humaine s’appliquent pleinement.

Oui. Les systèmes d’IA utilisés pour évaluer la solvabilité, accorder des crédits ou déterminer des scores de risque financier sont à haut risque (Annexe III, point 5). Les banques et établissements de crédit doivent se conformer aux obligations strictes.

Oui. Les systèmes IA utilisés pour l’accès à l’éducation, l’évaluation des étudiants, ou la surveillance des examens sont à haut risque. Les plateformes d’apprentissage adaptatif et les systèmes de notation automatique sont concernés.

La plupart des IA marketing/commerce sont à risque limité ou minimal : recommandations produits, personnalisation, chatbots de service client. Cependant, les pratiques de manipulation (dark patterns IA) sont interdites. L’IA générative pour le marketing a des obligations de transparence.

La documentation technique (Annexe IV) doit inclure : description générale du système, conception et développement, données d’entraînement/validation/test, métriques de performance, mesures de gestion des risques, journaux système, instructions d’utilisation. Elle doit être maintenue 10 ans.

Oui, pour les systèmes à haut risque. L’IA Act exige d’identifier et d’atténuer les biais potentiels dans les données et les sorties du système. Des tests de non-discrimination doivent être effectués et documentés. La surveillance post-déploiement doit continuer à monitorer les biais.

Les systèmes à haut risque doivent passer des tests de : robustesse (face aux erreurs et attaques), précision (performance conforme aux spécifications), non-discrimination (absence de biais), et cybersécurité. Ces tests doivent être documentés et reproductibles.

L’IA Act impose des exigences sur les données : elles doivent être pertinentes, représentatives, et exemptes d’erreurs. Les pratiques de gouvernance des données doivent être documentées. Pour les systèmes à haut risque, la traçabilité des données est obligatoire.

Indirectement. L’IA Act exige que les utilisateurs puissent « comprendre » les sorties du système et que la surveillance humaine soit possible. Pour les systèmes à haut risque, les personnes affectées doivent pouvoir obtenir des explications sur les décisions. L’explicabilité est donc nécessaire en pratique.

Le coût varie selon la taille et les systèmes : PME 15K€ à 50K€, ETI 50K€ à 200K€, grandes entreprises 200K€ à 1M€+. Les principaux postes sont la formation (30%), la documentation technique (40%) et les audits/tests (30%). La formation OPCO peut réduire significativement ce budget.

Comptez 6 à 18 mois selon la complexité : PME avec risque limité 3-6 mois, ETI avec haut risque 9-12 mois, grande entreprise 12-18 mois. L’échéance Article 4 (août 2025) impose de commencer maintenant pour être prêt à temps.

Commencez par : 1) Cartographier tous vos systèmes IA (y compris les outils tiers comme ChatGPT), 2) Classifier leur niveau de risque, 3) Former vos équipes (Article 4), 4) Prioriser les systèmes à haut risque pour la documentation. La formation est souvent le point de départ le plus rapide.

Recommandé pour les systèmes à haut risque ou les entreprises sans expertise interne. Un consultant peut accélérer la cartographie, assurer une classification correcte, et fournir les templates de documentation. Pour les risques limités, une formation solide peut suffire.

L’IA Act et le RGPD sont complémentaires. Le RGPD protège les données personnelles, l’IA Act encadre les systèmes qui les traitent. Un système IA doit respecter les deux. L’IA Act ajoute des obligations spécifiques (transparence, non-discrimination) qui renforcent le RGPD.

Les systèmes déjà sur le marché avant les dates d’application bénéficient de délais de transition. Cependant, ils doivent être mis en conformité. Commencez par les inventorier, les classifier, puis planifiez les actions correctives prioritaires (documentation, tests, ajustements).

Partiellement. Les modèles open source gratuits bénéficient d’exemptions pour les fournisseurs, mais les déployeurs qui les utilisent dans des contextes à haut risque restent soumis aux obligations. De plus, les modèles GPAI à risque systémique open source ont des obligations même s’ils sont gratuits.

Si vous utilisez des systèmes IA fournis par des tiers, vous êtes « déployeur » et restez responsable de leur utilisation conforme. Exigez des garanties contractuelles de conformité, la documentation technique, et le marquage CE. Vérifiez que le fournisseur est lui-même conforme.

Les regulatory sandboxes sont des environnements contrôlés où les entreprises (surtout PME/start-ups) peuvent tester leurs innovations IA avec un accompagnement des autorités et des assouplissements temporaires. Chaque État membre doit en créer au moins un d’ici 2026.

Oui, avec un effet extraterritorial. Si un fournisseur hors UE propose un système IA utilisé dans l’UE, il doit se conformer à l’IA Act. C’est le même principe que le RGPD. L’entreprise doit alors désigner un représentant dans l’UE.