Points clés — Classification des risques du règlement IA de l'UE
Le règlement IA de l'UE (règlement 2024/1689) instaure le premier cadre complet et juridiquement contraignant au monde pour l'intelligence artificielle. Son système de classification fondé sur le risque attribue chaque système d'IA à l'un des quatre niveaux — risque inacceptable, élevé, limité ou minimal — selon la finalité prévue et le contexte de déploiement. Les sanctions atteignent jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial. L'application a débuté en février 2025 pour les pratiques interdites, les obligations relatives au risque élevé entrant progressivement en vigueur jusqu'en août 2027. Les équipes de conformité doivent inventorier tous les systèmes d'IA, classer chacun par cas d'usage et mettre en place des mesures propres à chaque niveau.
Qu'est-ce que le règlement IA de l'UE ?
Le règlement IA de l'UE (formellement règlement (UE) 2024/1689) est le règlement horizontal de l'Union européenne établissant des règles harmonisées sur l'intelligence artificielle. Il a été publié au Journal officiel de l'Union européenne le 12.07.2024 et est entré en vigueur le 01.08.2024. Le règlement adopte une approche fondée sur le risque, imposant des obligations proportionnées au niveau de risque qu'un système d'IA fait peser sur la santé, la sécurité et les droits fondamentaux. Source : EUR-Lex, règlement (UE) 2024/1689
Qu'est-ce que la classification fondée sur le risque dans la réglementation de l'IA ?
La classification fondée sur le risque est une méthodologie réglementaire qui assigne des obligations de conformité en fonction du préjudice potentiel qu'un système d'IA peut causer, plutôt que de réglementer la technologie elle-même. Le règlement IA de l'UE définit quatre niveaux : risque inacceptable (article 5, interdit), risque élevé (articles 6 à 51, fortement encadré), risque limité (article 50, obligations de transparence) et risque minimal (aucune exigence spécifique). Cette approche reprend les cadres établis de sécurité des produits du droit de l'UE. Source : EUR-Lex, règlement (UE) 2024/1689
Qu'est-ce qu'une évaluation de la conformité au titre du règlement IA de l'UE ?
Une évaluation de la conformité est le processus par lequel un fournisseur d'un système d'IA à risque élevé démontre que le système répond aux exigences énoncées au chapitre III, section 2 du règlement IA de l'UE. Selon la catégorie du système, il peut s'agir d'une auto-évaluation ou de l'intervention requise d'un organisme notifié. L'évaluation porte sur la gestion des risques, la gouvernance des données, la documentation technique, l'exactitude, la robustesse et la cybersécurité. Source : EUR-Lex, règlement (UE) 2024/1689, articles 40 à 43
Qu'est-ce qu'un modèle d'IA à usage général (GPAI) ?
Un modèle d'IA à usage général est un modèle d'IA — y compris les grands modèles génératifs — entraîné à partir d'une grande quantité de données au moyen d'une auto-supervision à grande échelle, qui présente une généralité significative et est capable d'accomplir avec compétence un large éventail de tâches distinctes. Les fournisseurs de modèles d'IA à usage général sont soumis à des obligations de transparence à partir d'août 2025, et les modèles présentant un risque systémique font l'objet d'exigences supplémentaires, dont des tests contradictoires et le signalement des incidents. Source : EUR-Lex, règlement (UE) 2024/1689, articles 51 à 56
Statistiques et contexte de marché
Selon le texte final du règlement IA de l'UE (considérant 1), le règlement vise à garantir que les systèmes d'IA mis sur le marché de l'Union sont sûrs et respectent les droits fondamentaux. Le cadre des sanctions de l'article 99 établit trois paliers d'amendes : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, jusqu'à 15 millions d'euros ou 3 % pour le non-respect des obligations relatives au risque élevé, et jusqu'à 7,5 millions d'euros ou 1 % pour la communication d'informations inexactes. Selon une enquête de l'IAPP de 2024, moins de 25 % des organisations avaient entamé un inventaire formel de leur IA à la mi-2024 (IAPP). Une enquête mondiale de McKinsey de 2024 a révélé que 72 % des organisations avaient adopté l'IA dans au moins une fonction opérationnelle, contre 55 % en 2023 (McKinsey, The State of AI 2024). L'analyse d'impact de la Commission européenne a estimé qu'environ 15 % des systèmes d'IA déployés dans l'UE relèveraient de la catégorie à risque élevé.
Foire aux questions
Quels sont les quatre niveaux de risque du règlement IA de l'UE ?
Le règlement IA de l'UE classe les systèmes d'IA en quatre niveaux : risque inacceptable (purement et simplement interdit au titre de l'article 5), risque élevé (autorisé mais fortement encadré au titre des articles 6 à 51, exigeant des évaluations de conformité, des systèmes de gestion des risques et une surveillance humaine), risque limité (soumis à des obligations de transparence au titre de l'article 50, comme l'information sur le contenu généré par IA) et risque minimal (aucune exigence réglementaire spécifique). La classification dépend de la finalité prévue et du contexte de déploiement, et non de la technologie sous-jacente. Source : EUR-Lex, règlement (UE) 2024/1689
Quelles sont les amendes maximales prévues par le règlement IA de l'UE ?
Le règlement IA de l'UE établit un cadre de sanctions à trois paliers au titre de l'article 99. Le déploiement d'un système d'IA interdit entraîne des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Le non-respect des obligations relatives au risque élevé déclenche des amendes pouvant atteindre 15 millions d'euros ou 3 %. La communication d'informations inexactes à des organismes notifiés ou à des autorités nationales peut entraîner des amendes pouvant atteindre 7,5 millions d'euros ou 1 %. Pour les PME et les start-up, les amendes sont plafonnées au plus bas des deux montants. Source : EUR-Lex, règlement (UE) 2024/1689, article 99
Quand débutent les échéances d'application du règlement IA de l'UE ?
L'application est progressive sur une période de 36 mois à compter de l'entrée en vigueur (01.08.2024) : 02.02.2025 — les pratiques d'IA interdites (article 5) deviennent applicables. 02.08.2025 — les obligations pour les fournisseurs de modèles d'IA à usage général s'appliquent. 02.08.2026 — les obligations relatives au risque élevé pour les systèmes de l'annexe III (IA à risque élevé autonome). 02.08.2027 — les obligations relatives au risque élevé pour les systèmes de l'annexe I (IA intégrée à des produits réglementés). Source : EUR-Lex, règlement (UE) 2024/1689, article 113
La reconnaissance des émotions sur le lieu de travail est-elle interdite par le règlement IA de l'UE ?
Oui. En vertu de l'article 5, paragraphe 1, point f) du règlement IA de l'UE, les systèmes de reconnaissance des émotions déployés sur le lieu de travail et dans les établissements d'enseignement sont classés comme présentant un risque inacceptable et sont interdits, sauf lorsqu'ils sont utilisés à des fins médicales ou de sécurité. Cette interdiction est applicable depuis le 02.02.2025. Les organisations devraient auditer leurs technologies RH existantes, leurs plateformes d'entretiens vidéo et leurs outils d'analyse de l'engagement des collaborateurs afin d'y détecter d'éventuelles fonctions intégrées de détection des émotions, que les fournisseurs ont pu commercialiser sous l'appellation « analyse des sentiments » ou « notation de l'engagement ». Source : EUR-Lex, règlement (UE) 2024/1689, article 5
Comment le règlement IA de l'UE classe-t-il un même modèle d'IA utilisé dans différents contextes ?
La classification au titre du règlement IA de l'UE dépend du cas d'usage, et non de la technologie. Un même grand modèle de langage pourrait être classé comme présentant un risque limité lorsqu'il est déployé comme agent conversationnel de service client (n'exigeant que des informations de transparence au titre de l'article 50), mais comme présentant un risque élevé lorsqu'il sert à évaluer la performance des collaborateurs ou la solvabilité (exigeant des évaluations de conformité complètes au titre des articles 6 à 43). Cela signifie que les organisations ne peuvent pas classer leur inventaire d'IA une fois pour toutes : chaque nouveau contexte de déploiement exige une nouvelle évaluation des risques. Source : EUR-Lex, règlement (UE) 2024/1689, article 6
Quelles obligations de conformité s'appliquent aux systèmes d'IA à risque élevé ?
Les fournisseurs de systèmes d'IA à risque élevé doivent mettre en place : un système de gestion des risques (article 9), des mesures de gouvernance des données (article 10), une documentation technique (article 11), la tenue de registres et la journalisation automatique (article 12), la transparence et la fourniture d'informations aux déployeurs (article 13), des mesures de surveillance humaine (article 14) et des normes d'exactitude, de robustesse et de cybersécurité (article 15). Ils doivent également réaliser une évaluation de la conformité (articles 40 à 43), enregistrer le système dans la base de données de l'UE (article 49), mettre en place un système de gestion de la qualité (article 17) et assurer une surveillance après commercialisation (article 72). Source : EUR-Lex, règlement (UE) 2024/1689, chapitre III
Comparatif des niveaux de risque du règlement IA de l'UE
| Niveau de risque | Articles du règlement IA de l'UE | Obligations clés | Sanction maximale | Date d'application |
|---|
| Inacceptable | Article 5 | Interdiction pure et simple ; cessation obligatoire du déploiement | 35 M€ ou 7 % du chiffre d'affaires | 02.02.2025 |
| Élevé | Articles 6 à 51 | Évaluation de la conformité, gestion des risques, surveillance humaine, documentation technique, enregistrement dans la base de données de l'UE | 15 M€ ou 3 % du chiffre d'affaires | 02.08.2026 / 02.08.2027 |
| Limité | Article 50 | Informations de transparence (p. ex. informer les utilisateurs qu'ils interagissent avec une IA, étiqueter le contenu généré par IA) | 15 M€ ou 3 % du chiffre d'affaires | 02.08.2026 |
| Minimal | Aucun article spécifique | Aucune exigence obligatoire ; codes de conduite volontaires encouragés | S.O. | S.O. |