Guide du règlement IA de l'UE

La classification des risques du règlement IA de l'UE expliquée : ce que toute équipe de conformité doit savoir en 2025

Mis à jour le 2026-06-22
Points clés : le règlement IA de l'UE classe les systèmes d'IA en quatre niveaux de risque — inacceptable, élevé, limité et minimal — chacun assorti d'obligations de conformité, de calendriers d'application et de sanctions distincts pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial.

Le règlement IA de l'UE instaure la première réglementation complète au monde sur l'intelligence artificielle, et son système de classification fondé sur le risque détermine tout, de vos obligations de documentation aux amendes potentielles pouvant atteindre 35 millions d'euros. Voici précisément comment fonctionnent les quatre niveaux de risque, ce qui déclenche chaque classification et ce que votre organisation doit entreprendre à ce sujet.

Temps de lecture : 12 minutes | Dernière mise à jour : juin 2025 | Inclut une liste de contrôle de classification gratuite à télécharger

Téléchargez la liste de contrôle de classification des risques gratuite
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Pourquoi cette réglementation est différente

Pourquoi le système de classification des risques du règlement IA de l'UE compte plus que vous ne le pensez

Votre organisation utilise presque certainement des systèmes d'IA. Le niveau dans lequel chacun s'inscrit dicte vos obligations légales, vos exigences de documentation, vos impératifs de surveillance humaine et votre exposition aux sanctions. Voici ce qui est en jeu.

L'ampleur de l'exposition

Des amendes jusqu'à 7 % du chiffre d'affaires mondial

Le déploiement d'un système d'IA interdit entraîne des sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Le non-respect des obligations relatives aux systèmes à risque élevé déclenche des amendes pouvant atteindre 15 millions d'euros ou 3 %. Ce ne sont pas des hypothèses. L'application débute en février 2025 pour les systèmes interdits, les obligations relatives aux systèmes à risque élevé entrant progressivement en vigueur jusqu'en août 2027.

Règlement IA de l'UE, article 99, cadre des sanctions tel qu'adopté dans le texte final, juin 2024

Le déficit de gouvernance

On ne peut pas gérer ce que l'on n'a pas cartographié

Pour les organisations présentes dans plusieurs filiales, juridictions et unités opérationnelles, chacune déployant potentiellement des systèmes d'IA différents, l'exercice de classification à lui seul constitue un défi de gouvernance majeur. Les RH peuvent utiliser des outils de présélection alimentés par l'IA au sein d'une entité, tandis que les achats recourent à l'analyse prédictive dans une autre. Sans inventaire centralisé, vous abordez l'application de la réglementation à l'aveugle.

D'après l'expérience de Priverion dans le déploiement de registres d'IA auprès d'organisations multi-entités réparties dans plus de 50 juridictions

Le risque caché

Votre technologie RH actuelle est peut-être déjà non conforme

La reconnaissance des émotions alimentée par l'IA sur les lieux de travail et dans les établissements d'enseignement est désormais classée comme présentant un risque inacceptable dans le texte final du règlement IA. De nombreuses organisations ignorent que leurs outils existants de surveillance des collaborateurs, leurs plateformes d'entretiens vidéo ou leurs solutions d'analyse de l'engagement peuvent comporter des fonctions de détection des émotions qui déclenchent une interdiction pure et simple, et non une simple obligation de conformité, mais bien une prohibition.

Règlement IA de l'UE, article 5, paragraphe 1, point f), interdiction de la reconnaissance des émotions dans les contextes professionnels et éducatifs, texte consolidé final

Le règlement compte 144 pages. Les orientations continuent d'évoluer. Et la plupart des résumés en ligne simplifient à l'excès les critères de classification, au point d'en devenir trompeurs. Poursuivez votre lecture pour obtenir l'analyse précise et opérationnellement utile dont votre équipe a besoin, ou récupérez la liste de contrôle dès maintenant.

Téléchargez la liste de contrôle de classification des risques gratuite

Comment fonctionne la classification des risques à quatre niveaux du règlement IA de l'UE

Le règlement IA de l'UE classe tous les systèmes d'IA en quatre niveaux de risque : inacceptable, élevé, limité et minimal. Votre niveau détermine vos obligations, allant d'une interdiction pure et simple à l'absence quasi totale d'exigences réglementaires.

Le point essentiel que la plupart des résumés méconnaissent : la classification ne repose pas sur la technologie elle-même. Elle repose sur la finalité prévue et le contexte de déploiement. Un même grand modèle de langage peut relever de différents niveaux selon qu'il est utilisé pour des agents conversationnels de service client (risque limité) ou pour évaluer la performance des collaborateurs (risque élevé). Cela signifie que vous ne pouvez pas classer votre inventaire d'IA une fois pour toutes et l'oublier : chaque nouveau cas d'usage exige une nouvelle évaluation.

Ce qui suit est une analyse détaillée de chaque niveau : ce qui déclenche la classification, vos obligations, des exemples concrets et le calendrier d'application. Il s'agit de la référence opérationnelle dont votre équipe de conformité a réellement besoin, et non du schéma pyramidal simpliste que vous trouverez dans la plupart des articles de blog.

Niveau 1 sur 4

Risque inacceptable. Pratiques d'IA interdites

Échéance d'application : 02.02.2025, déjà en vigueur

Ces systèmes d'IA sont purement et simplement interdits. Aucune voie de mise en conformité n'existe : si vous déployez l'un d'eux, votre seule option légale est de cesser. La sanction en cas de violation est la plus élevée du règlement : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.

Ce qui déclenche la classification en risque inacceptable :

  • Les systèmes de notation sociale par les autorités publiques qui évaluent ou classent les individus en fonction de leur comportement social ou de traits de personnalité, entraînant un traitement préjudiciable disproportionné par rapport au contexte
  • L'identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives (à de rares exceptions près pour certaines infractions graves, sous réserve d'une autorisation judiciaire préalable)
  • Les systèmes d'IA qui recourent à des techniques subliminales, manipulatrices ou trompeuses pour altérer substantiellement le comportement d'une manière qui cause ou est susceptible de causer un préjudice important
  • Les systèmes d'IA qui exploitent les vulnérabilités de groupes spécifiques, liées à l'âge, au handicap ou à la situation sociale ou économique, pour altérer substantiellement le comportement en causant un préjudice important
  • Les systèmes de reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement (sauf à des fins médicales ou de sécurité)
  • La collecte non ciblée d'images faciales sur Internet ou à partir d'images de vidéosurveillance afin de créer ou d'enrichir des bases de données de reconnaissance faciale
  • Les systèmes de catégorisation biométrique qui classent les individus à partir de données biométriques pour en déduire la race, les opinions politiques, l'appartenance syndicale, les convictions religieuses ou l'orientation sexuelle (sauf pour des données biométriques licitement acquises dans un contexte répressif)

Ce que cela signifie pour votre organisation dès maintenant

L'échéance d'application de ce niveau est déjà passée. Si votre organisation utilise des outils de surveillance des collaborateurs, des plateformes d'entretiens vidéo ou des logiciels d'analyse du lieu de travail, vous devez vérifier si l'un de ces outils comporte des fonctions de détection des émotions ou de catégorisation biométrique, même à titre de fonctionnalité secondaire. De nombreux fournisseurs ont intégré ces capacités sous l'appellation « analyse de l'engagement » ou « fonctions de sentiment » sans en exposer clairement les implications réglementaires aux acheteurs. Le registre d'IA de Priverion vous aide à inventorier et à classer chaque système d'IA dans l'ensemble des entités de votre groupe, afin que rien ne passe entre les mailles du filet.

Règlement IA de l'UE, article 5, pratiques interdites en matière d'intelligence artificielle, texte consolidé final adopté en juin 2024

Niveau 2 sur 4

Risque élevé. Autorisé mais fortement encadré

Échéance d'application : 02.08.2026 (systèmes de l'annexe III) / 02.08.2027 (systèmes de l'annexe I, sécurité des produits)

C'est là que se concentre l'essentiel de la complexité opérationnelle. Les systèmes d'IA à risque élevé sont autorisés, mais ils s'accompagnent d'exigences étendues en matière de documentation, de tests, de suivi et de surveillance humaine. Le non-respect déclenche des amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial. Pour les organisations multi-entités, le défi se démultiplie : différentes filiales peuvent déployer le même type de système dans des conditions distinctes, chacune nécessitant une évaluation de conformité indépendante.

Catégories à risque élevé au titre de l'annexe III (les plus pertinentes pour les entreprises) :

  • L'identification et la catégorisation biométriques des personnes physiques (au-delà des catégories interdites mentionnées ci-dessus)
  • La gestion et l'exploitation des infrastructures critiques. Les systèmes d'IA utilisés comme composants de sécurité dans la circulation routière et l'approvisionnement en eau, gaz, chauffage et électricité
  • L'éducation et la formation professionnelle. L'IA utilisée pour déterminer l'accès à l'éducation, évaluer les acquis d'apprentissage, apprécier le niveau d'enseignement approprié ou détecter les comportements interdits pendant les examens
  • L'emploi, la gestion des travailleurs et l'accès au travail indépendant. L'IA utilisée pour le recrutement, la diffusion d'offres d'emploi, le tri ou le filtrage des candidatures, l'évaluation des candidats, les décisions de promotion ou de licenciement, l'attribution de tâches en fonction du comportement ou des caractéristiques individuelles, ainsi que le suivi et l'évaluation de la performance des travailleurs
  • L'accès aux services essentiels. L'IA utilisée pour évaluer la solvabilité, pour l'appréciation des risques et la tarification en assurance vie et santé, pour évaluer et classer les appels d'urgence, et pour apprécier l'éligibilité aux prestations et services publics
  • Les activités répressives. L'IA utilisée pour les évaluations individuelles des risques, les polygraphes, la détection des hypertrucages présentés comme preuves, l'appréciation de la fiabilité des preuves et la prédiction d'infractions à partir du profilage
  • La migration, l'asile et le contrôle aux frontières. L'IA utilisée pour le traitement des demandes, l'évaluation des risques de sécurité et l'examen des documents de voyage
  • L'administration de la justice et les processus démocratiques. L'IA utilisée pour assister les autorités judiciaires dans la recherche et l'interprétation des faits et du droit

Obligations de conformité pour les systèmes d'IA à risque élevé :

  • Système de gestion des risques, établir, mettre en œuvre, documenter et tenir à jour un processus continu de gestion des risques tout au long du cycle de vie du système d'IA
  • Gouvernance des données, les jeux de données d'entraînement, de validation et de test doivent répondre à des critères de qualité incluant la pertinence, la représentativité, l'exhaustivité et l'adéquation statistique
  • Documentation technique, une documentation détaillée avant la mise sur le marché du système, tenue à jour et suffisante pour permettre aux autorités d'évaluer la conformité
  • Tenue de registres, la journalisation automatique des événements (journaux) tout au long de la durée de vie du système, permettant la traçabilité de son fonctionnement
  • Transparence et information des déployeurs, fournir des instructions d'utilisation claires précisant la finalité prévue du système, son niveau d'exactitude, ses limites connues et les circonstances de mauvaise utilisation prévisible
  • Surveillance humaine, conçue pour permettre une surveillance effective par des personnes physiques pendant l'utilisation, incluant la capacité à comprendre pleinement les capacités et les limites du système d'IA, à interpréter correctement les résultats et à décider de ne pas l'utiliser ou d'en ignorer les résultats
  • Exactitude, robustesse et cybersécurité, des niveaux appropriés doivent être atteints et maintenus tout au long du cycle de vie
  • Évaluation de la conformité, avant le déploiement, selon le type de système
  • Enregistrement dans la base de données de l'UE, les systèmes d'IA à risque élevé doivent être enregistrés dans la base de données de l'UE avant leur mise sur le marché
  • Surveillance après commercialisation, les fournisseurs doivent établir et documenter un système de surveillance après commercialisation proportionné à la nature et au risque du système

Le défi multi-entités

Pour les organisations comptant 10, 20 ou plus de 50 filiales, la conformité aux exigences relatives au risque élevé devient un problème d'architecture de gouvernance. Le service RH de votre filiale allemande peut utiliser un outil de présélection par IA du fournisseur A, tandis que votre entité française recourt au fournisseur B pour la même finalité. Les deux relèvent du risque élevé. Les deux exigent une documentation de conformité indépendante. Les deux nécessitent un suivi continu. Sans système centralisé pour suivre, classer et gérer ces obligations à l'échelle des entités, vous demandez essentiellement à chaque DPD local de résoudre indépendamment le même problème, sans aucune visibilité au niveau du groupe. C'est précisément le problème que le registre d'IA et le tableau de bord à l'échelle du groupe de Priverion ont été conçus pour résoudre.

Règlement IA de l'UE, articles 6 à 15 (classification et exigences relatives au risque élevé), annexe III (domaines à risque élevé énumérés), texte consolidé final

Niveau 3 sur 4

Risque limité. Obligations de transparence

Échéance d'application : 02.08.2026 (dispositions générales, dont la transparence)

Les systèmes d'IA à risque limité ne sont pas soumis aux lourdes exigences de documentation et de surveillance des systèmes à risque élevé, mais ils sont assortis d'obligations de transparence spécifiques. Le principe central : les personnes qui interagissent avec une IA doivent savoir qu'elles interagissent avec une IA. Ce niveau englobe une grande partie des systèmes d'IA que les organisations déploient aujourd'hui, dont la plupart des agents conversationnels, des outils de génération de contenu et des applications de médias synthétiques.

Ce qui relève du risque limité :

  • Les systèmes d'IA conçus pour interagir directement avec des personnes physiques (agents conversationnels, assistants virtuels, agents de service client par IA), qui doivent clairement indiquer qu'ils sont pilotés par l'IA, à moins que cela ne ressorte clairement du contexte
  • Les systèmes d'IA qui génèrent ou manipulent du contenu image, audio ou vidéo (hypertrucages, médias synthétiques, images générées par IA), dont les résultats doivent être lisibles par machine comme étant générés ou manipulés artificiellement
  • Les systèmes d'IA qui génèrent du texte publié afin d'informer le public sur des questions d'intérêt général, qui doivent être étiquetés comme générés artificiellement, sauf s'ils ont fait l'objet d'une relecture éditoriale par un être humain
  • Les systèmes de reconnaissance des émotions et de catégorisation biométrique (lorsqu'ils ne sont pas interdits au titre du niveau 1), qui doivent informer les personnes qui y sont exposées du fonctionnement du système et traiter les données personnelles conformément au RGPD

Obligations de conformité :

  • Information, les fournisseurs doivent veiller à ce que les systèmes d'IA destinés à interagir directement avec des personnes physiques soient conçus de manière que les individus soient informés qu'ils interagissent avec un système d'IA, à moins que cela ne ressorte clairement des circonstances et du contexte d'utilisation
  • Marquage du contenu synthétique, les fournisseurs de systèmes d'IA qui génèrent du contenu audio, image, vidéo ou texte synthétique doivent veiller à ce que les résultats soient marqués dans un format lisible par machine comme étant générés ou manipulés artificiellement
  • Obligations des déployeurs pour les hypertrucages, les déployeurs doivent indiquer que le contenu a été généré ou manipulé artificiellement lorsqu'il constitue un hypertrucage, sauf à des fins artistiques, satiriques ou de fiction assorties de garanties appropriées

L'implication pratique pour la plupart des organisations

Si votre organisation utilise un agent conversationnel destiné aux clients, une création de contenu assistée par IA ou des outils de communication alimentés par l'IA, vous avez probablement des obligations relevant du risque limité dès aujourd'hui. La bonne nouvelle : elles sont opérationnellement plus légères que les exigences relatives au risque élevé. La difficulté : la plupart des organisations n'ont pas inventorié leurs systèmes d'IA de manière suffisamment exhaustive pour savoir lesquels déclenchent des obligations de transparence au titre du risque limité. Un collaborateur utilisant ChatGPT pour rédiger des communications clients, une équipe marketing recourant à la génération d'images par IA, une équipe de support utilisant un agent conversationnel par IA, tous peuvent nécessiter des mécanismes d'information que vous n'avez pas encore mis en place.

Règlement IA de l'UE, article 50, obligations de transparence pour les fournisseurs et les déployeurs de certains systèmes d'IA, texte consolidé final

Niveau 4 sur 4

Risque minimal, aucune obligation spécifique

Aucune échéance de conformité spécifique au règlement IA de l'UE, les dispositions générales s'appliquent à partir du 02.08.2026

La grande majorité des systèmes d'IA utilisés aujourd'hui relèvent de ce niveau. Les jeux vidéo dotés d'IA, les filtres anti-spam, les systèmes de gestion des stocks, les algorithmes de recherche alimentés par l'IA, l'optimisation de la production assistée par IA, tous présentent un risque minimal. Le règlement IA de l'UE n'impose aucune obligation réglementaire spécifique aux systèmes d'IA à risque minimal, au-delà d'encourager l'adoption volontaire de codes de conduite.

Exemples de systèmes d'IA à risque minimal :

  • Filtres anti-spam et catégorisation des courriels alimentés par l'IA
  • Jeux vidéo et applications de divertissement dotés d'IA
  • Gestion des stocks et optimisation de la chaîne d'approvisionnement pilotées par l'IA
  • Moteurs de recherche et de recommandation alimentés par l'IA (lorsqu'ils ne sont pas utilisés dans des contextes à risque élevé tels que l'emploi ou l'éducation)
  • Contrôle qualité et optimisation des processus de fabrication assistés par IA
  • Outils de traduction linguistique alimentés par l'IA (lorsqu'ils ne génèrent pas de contenu destiné au public)
  • Automatisation robotisée des processus (RPA) intégrant des composants d'IA pour des tâches administratives courantes

Ce que « aucune obligation spécifique » signifie réellement :

  • Aucune exigence obligatoire de documentation, d'évaluation de la conformité ou d'enregistrement au titre du règlement IA
  • La Commission européenne encourage (mais n'impose pas) les fournisseurs d'IA à risque minimal à appliquer volontairement les principes d'une IA digne de confiance et à adhérer à des codes de conduite volontaires
  • D'autres réglementations restent applicables. Le RGPD, les réglementations sectorielles, les règles de sécurité des produits et le droit du travail continuent de régir ces systèmes indépendamment du règlement IA
  • La classification peut évoluer : si un système à risque minimal est réaffecté à un cas d'usage à risque élevé (p. ex. adapter une IA d'optimisation des stocks au suivi de la performance des collaborateurs), il déclenche une nouvelle classification

Pourquoi vous devez quand même suivre l'IA à risque minimal

L'absence d'obligations au titre du règlement IA ne signifie pas l'absence de responsabilité en matière de gouvernance. Pour être prêt pour un audit et pour le reporting au niveau du conseil, vous avez besoin d'une vue complète de tous les systèmes d'IA de votre organisation, y compris ceux à risque minimal. Pourquoi ? Parce que la classification peut évoluer lorsque les systèmes sont réaffectés, parce que les autorités de surveillance peuvent demander votre inventaire complet d'IA, et parce que démontrer une gouvernance exhaustive (même des systèmes à risque minimal) renforce la confiance des autorités. Le registre d'IA de Priverion regroupe les quatre niveaux dans un seul inventaire, ce qui facilite la démonstration d'une surveillance complète lorsqu'elle vous est demandée.

Règlement IA de l'UE, article 95, codes de conduite à application volontaire, considérant 28, approche fondée sur le risque, texte consolidé final

Calendrier d'application : quand chaque niveau entre en vigueur

Le règlement IA de l'UE n'entre pas en vigueur d'un seul coup. Il suit un calendrier d'application progressif déjà engagé. Manquer une échéance n'est pas un risque théorique : c'est un défaut de conformité bien réel.

Date Ce qui entre en vigueur Qui est concerné
02.02.2025 Interdiction des systèmes d'IA à risque inacceptable ; obligations de maîtrise de l'IA Toutes les organisations qui déploient ou fournissent des systèmes d'IA au sein de l'UE
02.08.2025 Obligations pour les fournisseurs de modèles d'IA à usage général (y compris les modèles de fondation et les modèles d'IA à usage général présentant un risque systémique) Fournisseurs de modèles d'IA à usage général, y compris les fournisseurs de modèles open source au-delà des seuils
02.08.2026 Application complète du règlement, y compris les exigences relatives au risque élevé pour les systèmes de l'annexe III, les obligations de transparence pour les systèmes à risque limité, ainsi que les structures de gouvernance et de surveillance du marché Fournisseurs, déployeurs, importateurs et distributeurs de tous les systèmes d'IA concernés
02.08.2027 Obligations relatives à l'IA à risque élevé pour les systèmes qui sont des composants de sécurité de produits réglementés au titre de l'annexe I (p. ex. dispositifs médicaux, machines, véhicules, aviation) Fournisseurs et déployeurs de systèmes d'IA intégrés à des produits réglementés

La première échéance est déjà passée. La prochaine vague significative, août 2026, sera le moment où la majorité des organisations en ressentiront l'impact. Cela vous laisse environ 14 mois à compter de la date de cette publication pour finaliser votre inventaire d'IA, documenter vos classifications et rendre opérationnels vos programmes de conformité au risque élevé.

Dates conformes au règlement IA de l'UE, article 113, entrée en vigueur et application, texte consolidé final tel que publié au Journal officiel de l'UE, juillet 2024

Vous ne savez pas dans quel niveau se classent vos systèmes d'IA ?

Le registre d'IA de Priverion vous aide à inventorier chaque système d'IA de votre groupe, à classer chacun par niveau de risque et à suivre les obligations de conformité, le tout dans un tableau de bord centralisé que votre DPD et votre conseil peuvent réellement exploiter.

Réservez une présentation de 30 min
Comparatif côte à côte

Conformité au règlement IA de l'UE : Priverion vs OneTrust

Les deux plateformes offrent des capacités de gouvernance de l'IA. La différence réside dans la manière dont elles ont été conçues, pour qui elles l'ont été et ce que vous payez réellement.

Capacité OneTrust Priverion
Inventaire / registre des systèmes d'IA Disponible en module complémentaire ; hébergé aux États-Unis par défaut ; l'inventaire s'inscrit dans une suite GRC plus large Registre d'IA spécialement conçu pour la classification au titre du règlement IA de l'UE ; hébergé en Suisse ; intégré à la gestion du programme de protection des données
Classification des risques Flux de classification manuel ; nécessite une configuration par l'équipe de déploiement Classification assistée par IA avec revue humaine ; rattache automatiquement les systèmes aux quatre niveaux du règlement IA de l'UE
Gestion multi-entités Possible mais nécessite une licence par entité ; la visibilité à l'échelle du groupe requiert une configuration supplémentaire Conçu pour le multi-entités dès le premier jour ; un seul tableau de bord pour toutes les filiales et juridictions ; inclus dans la tarification de base
Intégration RGPD + règlement IA Modules distincts pour la protection des données et la gouvernance de l'IA ; la cartographie des données peut nécessiter un rattachement manuel Plateforme unifiée. Le registre d'IA se connecte directement au registre des traitements, aux AIPD et aux évaluations des risques fournisseurs ; la classification alimente les flux de protection des données existants
Résidence des données Siège aux États-Unis ; hébergement dans l'UE disponible mais pouvant nécessiter une négociation contractuelle et une tarification premium Conçu et hébergé en Suisse ; tout le traitement des données s'effectue au sein de l'infrastructure suisse ; résidence des données européenne garantie
Délai de déploiement 6 à 12 mois en général pour un déploiement complet ; nécessite une équipe projet dédiée et souvent des consultants externes Opérationnel en quelques semaines ; un constructeur aéronautique a obtenu une réduction de 60 % de l'administration de la conformité au cours des 6 premiers mois, sans consultants externes
Modèle de tarification Tarification par utilisateur et par module ; les coûts augmentent avec les filiales, les utilisateurs et les ajouts de fonctionnalités Fondée sur le nombre d'entités et la taille de l'organisation ; aucun frais par utilisateur ni par module ; coût annuel prévisible
Transparence de l'IA Capacités d'IA au sein de la plateforme ; les conditions de traitement des données varient selon le contrat L'IA assiste, les humains décident ; aucune donnée client n'est utilisée pour entraîner les modèles ; tous les résultats de l'IA sont revus avant de devenir des enregistrements de conformité

Comparatif fondé sur la documentation produit publiquement accessible et sur les données de déploiement client de Priverion en date de juin 2025. Les capacités d'OneTrust peuvent varier selon le palier de licence et les conditions contractuelles.

Ce que nous ne faisons pas, et pourquoi cela compte

Nous ne couvrons pas le reporting ESG, les lignes d'alerte éthique ni la gestion du consentement aux cookies. Nous ne sommes pas conçus pour les entreprises mono-entité. Nous nous concentrons entièrement sur la gestion du programme de protection des données et la gouvernance de l'IA en environnement multi-entités, et nous le faisons mieux que quiconque.

Comment opérationnaliser la conformité au règlement IA dans toute votre organisation

Comprendre les quatre niveaux n'est que la première étape. La question la plus délicate pour les équipes de conformité est la suivante : comment mettre tout cela en œuvre concrètement dans une organisation multi-entités où les systèmes d'IA sont adoptés plus vite que vous ne pouvez les inventorier ?

Étape 1 : constituer un inventaire complet de l'IA

Vous ne pouvez pas classer ce que vous n'avez pas trouvé. Commencez par recenser chaque unité opérationnelle, filiale et fonction. Ne vous contentez pas de demander « utilisez-vous l'IA ? » : interrogez sur des outils précis : agents conversationnels, outils de présélection, plateformes d'analyse, outils de génération de contenu, systèmes de décision automatisée et tout logiciel recourant à l'apprentissage automatique, aux réseaux neuronaux ou au traitement du langage naturel. De nombreux collaborateurs ne considèrent pas leurs outils comme de l'« IA », alors soyez précis.

Le registre d'IA de Priverion fournit un cadre structuré pour cet inventaire dans l'ensemble des entités du groupe, avec des modèles et des flux qui rendent pratique la collecte d'informations auprès de dizaines d'unités opérationnelles sans créer un énième exercice de tableur.

Étape 2 : classer chaque système par niveau de risque

Pour chaque système d'IA de votre inventaire, déterminez : quelle est sa finalité prévue ? Dans quel contexte est-il déployé ? Relève-t-il d'une catégorie à risque élevé de l'annexe III ? Interagit-il directement avec des personnes (déclenchant des obligations de transparence au titre du risque limité) ? Génère-t-il du contenu synthétique ? Une fonctionnalité, même secondaire, pourrait-elle déclencher une interdiction ? Documentez le raisonnement de votre classification. Vous en aurez besoin pour être prêt pour un audit.

Étape 3 : prioriser les programmes de conformité au risque élevé

Pour tout système classé à risque élevé, vous devez mettre en place ou vérifier : un système de gestion des risques, des procédures de gouvernance des données, une documentation technique, des capacités de journalisation, des mécanismes de surveillance humaine et des tests d'exactitude et de robustesse. Pour les organisations multi-entités, déterminez si vous avez besoin d'un programme de conformité centralisé ou de programmes par entité, ou des deux. La réponse dépend généralement du fait que le même système d'IA soit déployé de manière uniforme dans toutes les entités ou que chaque entité ait pris des décisions d'achat indépendantes.

Étape 4 : mettre en place des mécanismes de transparence pour les systèmes à risque limité

Pour chaque agent conversationnel destiné aux clients, générateur de contenu par IA ou outil de médias synthétiques, mettez en place des mécanismes d'information. Cela paraît simple, mais en pratique cela exige des modifications des interfaces utilisateur, des flux de contenu et des normes de métadonnées. Coordonnez-vous avec vos équipes produit, marketing et expérience client : ces obligations de transparence ne sont pas qu'un exercice de conformité, elles relèvent aussi de l'expérience utilisateur.

Étape 5 : établir des processus de suivi et de reclassification continus

Les systèmes d'IA ne restent pas indéfiniment dans un même niveau. Un système à risque minimal réaffecté à un cas d'usage à risque élevé doit être reclassé. De nouvelles fonctionnalités des fournisseurs peuvent modifier le profil de risque. Des unités opérationnelles peuvent adopter de nouveaux outils d'IA sans en informer l'équipe de conformité. Mettez en place un processus, idéalement automatisé, qui fait remonter les changements et déclenche des revues de reclassification. C'est là que la différence entre une gestion sur tableur et une plateforme spécialement conçue devient la plus évidente.

200+

Heures économisées sur la documentation de conformité

Medtec a économisé plus de 200 heures de préparation à la norme ISO 27001, en éliminant le suivi manuel dans toute son organisation dès la première année.

60%

Moins de temps d'administration de la conformité

Un constructeur aéronautique a réduit de 60 % son temps d'administration de la conformité au cours des 6 premiers mois, avec une tarification prévisible fondée sur les entités et non sur des sièges par utilisateur.

3 mois

D'avance sur le calendrier ISO 27001

Medtec a accéléré de 3 mois son calendrier de certification ISO 27001 grâce aux dossiers de preuves prêts pour l'audit et à la documentation automatisée de Priverion.

Priverion vs OneTrust

Conçu pour le mid-market. Pas dérivé d'une solution d'entreprise allégée.

OneTrust s'adresse aux organisations du Fortune 500, avec un périmètre GRC plus large et des équipes de protection des données dédiées. Les organisations du mid-market comptant de 5 à 50 entités ont besoin d'autre chose : pas moins performant, mais performant différemment.

L'expérience OneTrust typique

À propos de cette page — références, définitions et FAQ

Points clés — Classification des risques du règlement IA de l'UE

Le règlement IA de l'UE (règlement 2024/1689) instaure le premier cadre complet et juridiquement contraignant au monde pour l'intelligence artificielle. Son système de classification fondé sur le risque attribue chaque système d'IA à l'un des quatre niveaux — risque inacceptable, élevé, limité ou minimal — selon la finalité prévue et le contexte de déploiement. Les sanctions atteignent jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial. L'application a débuté en février 2025 pour les pratiques interdites, les obligations relatives au risque élevé entrant progressivement en vigueur jusqu'en août 2027. Les équipes de conformité doivent inventorier tous les systèmes d'IA, classer chacun par cas d'usage et mettre en place des mesures propres à chaque niveau.

Qu'est-ce que le règlement IA de l'UE ?

Le règlement IA de l'UE (formellement règlement (UE) 2024/1689) est le règlement horizontal de l'Union européenne établissant des règles harmonisées sur l'intelligence artificielle. Il a été publié au Journal officiel de l'Union européenne le 12.07.2024 et est entré en vigueur le 01.08.2024. Le règlement adopte une approche fondée sur le risque, imposant des obligations proportionnées au niveau de risque qu'un système d'IA fait peser sur la santé, la sécurité et les droits fondamentaux. Source : EUR-Lex, règlement (UE) 2024/1689

Qu'est-ce que la classification fondée sur le risque dans la réglementation de l'IA ?

La classification fondée sur le risque est une méthodologie réglementaire qui assigne des obligations de conformité en fonction du préjudice potentiel qu'un système d'IA peut causer, plutôt que de réglementer la technologie elle-même. Le règlement IA de l'UE définit quatre niveaux : risque inacceptable (article 5, interdit), risque élevé (articles 6 à 51, fortement encadré), risque limité (article 50, obligations de transparence) et risque minimal (aucune exigence spécifique). Cette approche reprend les cadres établis de sécurité des produits du droit de l'UE. Source : EUR-Lex, règlement (UE) 2024/1689

Qu'est-ce qu'une évaluation de la conformité au titre du règlement IA de l'UE ?

Une évaluation de la conformité est le processus par lequel un fournisseur d'un système d'IA à risque élevé démontre que le système répond aux exigences énoncées au chapitre III, section 2 du règlement IA de l'UE. Selon la catégorie du système, il peut s'agir d'une auto-évaluation ou de l'intervention requise d'un organisme notifié. L'évaluation porte sur la gestion des risques, la gouvernance des données, la documentation technique, l'exactitude, la robustesse et la cybersécurité. Source : EUR-Lex, règlement (UE) 2024/1689, articles 40 à 43

Qu'est-ce qu'un modèle d'IA à usage général (GPAI) ?

Un modèle d'IA à usage général est un modèle d'IA — y compris les grands modèles génératifs — entraîné à partir d'une grande quantité de données au moyen d'une auto-supervision à grande échelle, qui présente une généralité significative et est capable d'accomplir avec compétence un large éventail de tâches distinctes. Les fournisseurs de modèles d'IA à usage général sont soumis à des obligations de transparence à partir d'août 2025, et les modèles présentant un risque systémique font l'objet d'exigences supplémentaires, dont des tests contradictoires et le signalement des incidents. Source : EUR-Lex, règlement (UE) 2024/1689, articles 51 à 56

Statistiques et contexte de marché

Selon le texte final du règlement IA de l'UE (considérant 1), le règlement vise à garantir que les systèmes d'IA mis sur le marché de l'Union sont sûrs et respectent les droits fondamentaux. Le cadre des sanctions de l'article 99 établit trois paliers d'amendes : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, jusqu'à 15 millions d'euros ou 3 % pour le non-respect des obligations relatives au risque élevé, et jusqu'à 7,5 millions d'euros ou 1 % pour la communication d'informations inexactes. Selon une enquête de l'IAPP de 2024, moins de 25 % des organisations avaient entamé un inventaire formel de leur IA à la mi-2024 (IAPP). Une enquête mondiale de McKinsey de 2024 a révélé que 72 % des organisations avaient adopté l'IA dans au moins une fonction opérationnelle, contre 55 % en 2023 (McKinsey, The State of AI 2024). L'analyse d'impact de la Commission européenne a estimé qu'environ 15 % des systèmes d'IA déployés dans l'UE relèveraient de la catégorie à risque élevé.

Foire aux questions

Quels sont les quatre niveaux de risque du règlement IA de l'UE ?

Le règlement IA de l'UE classe les systèmes d'IA en quatre niveaux : risque inacceptable (purement et simplement interdit au titre de l'article 5), risque élevé (autorisé mais fortement encadré au titre des articles 6 à 51, exigeant des évaluations de conformité, des systèmes de gestion des risques et une surveillance humaine), risque limité (soumis à des obligations de transparence au titre de l'article 50, comme l'information sur le contenu généré par IA) et risque minimal (aucune exigence réglementaire spécifique). La classification dépend de la finalité prévue et du contexte de déploiement, et non de la technologie sous-jacente. Source : EUR-Lex, règlement (UE) 2024/1689

Quelles sont les amendes maximales prévues par le règlement IA de l'UE ?

Le règlement IA de l'UE établit un cadre de sanctions à trois paliers au titre de l'article 99. Le déploiement d'un système d'IA interdit entraîne des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Le non-respect des obligations relatives au risque élevé déclenche des amendes pouvant atteindre 15 millions d'euros ou 3 %. La communication d'informations inexactes à des organismes notifiés ou à des autorités nationales peut entraîner des amendes pouvant atteindre 7,5 millions d'euros ou 1 %. Pour les PME et les start-up, les amendes sont plafonnées au plus bas des deux montants. Source : EUR-Lex, règlement (UE) 2024/1689, article 99

Quand débutent les échéances d'application du règlement IA de l'UE ?

L'application est progressive sur une période de 36 mois à compter de l'entrée en vigueur (01.08.2024) : 02.02.2025 — les pratiques d'IA interdites (article 5) deviennent applicables. 02.08.2025 — les obligations pour les fournisseurs de modèles d'IA à usage général s'appliquent. 02.08.2026 — les obligations relatives au risque élevé pour les systèmes de l'annexe III (IA à risque élevé autonome). 02.08.2027 — les obligations relatives au risque élevé pour les systèmes de l'annexe I (IA intégrée à des produits réglementés). Source : EUR-Lex, règlement (UE) 2024/1689, article 113

La reconnaissance des émotions sur le lieu de travail est-elle interdite par le règlement IA de l'UE ?

Oui. En vertu de l'article 5, paragraphe 1, point f) du règlement IA de l'UE, les systèmes de reconnaissance des émotions déployés sur le lieu de travail et dans les établissements d'enseignement sont classés comme présentant un risque inacceptable et sont interdits, sauf lorsqu'ils sont utilisés à des fins médicales ou de sécurité. Cette interdiction est applicable depuis le 02.02.2025. Les organisations devraient auditer leurs technologies RH existantes, leurs plateformes d'entretiens vidéo et leurs outils d'analyse de l'engagement des collaborateurs afin d'y détecter d'éventuelles fonctions intégrées de détection des émotions, que les fournisseurs ont pu commercialiser sous l'appellation « analyse des sentiments » ou « notation de l'engagement ». Source : EUR-Lex, règlement (UE) 2024/1689, article 5

Comment le règlement IA de l'UE classe-t-il un même modèle d'IA utilisé dans différents contextes ?

La classification au titre du règlement IA de l'UE dépend du cas d'usage, et non de la technologie. Un même grand modèle de langage pourrait être classé comme présentant un risque limité lorsqu'il est déployé comme agent conversationnel de service client (n'exigeant que des informations de transparence au titre de l'article 50), mais comme présentant un risque élevé lorsqu'il sert à évaluer la performance des collaborateurs ou la solvabilité (exigeant des évaluations de conformité complètes au titre des articles 6 à 43). Cela signifie que les organisations ne peuvent pas classer leur inventaire d'IA une fois pour toutes : chaque nouveau contexte de déploiement exige une nouvelle évaluation des risques. Source : EUR-Lex, règlement (UE) 2024/1689, article 6

Quelles obligations de conformité s'appliquent aux systèmes d'IA à risque élevé ?

Les fournisseurs de systèmes d'IA à risque élevé doivent mettre en place : un système de gestion des risques (article 9), des mesures de gouvernance des données (article 10), une documentation technique (article 11), la tenue de registres et la journalisation automatique (article 12), la transparence et la fourniture d'informations aux déployeurs (article 13), des mesures de surveillance humaine (article 14) et des normes d'exactitude, de robustesse et de cybersécurité (article 15). Ils doivent également réaliser une évaluation de la conformité (articles 40 à 43), enregistrer le système dans la base de données de l'UE (article 49), mettre en place un système de gestion de la qualité (article 17) et assurer une surveillance après commercialisation (article 72). Source : EUR-Lex, règlement (UE) 2024/1689, chapitre III

Comparatif des niveaux de risque du règlement IA de l'UE

Niveau de risqueArticles du règlement IA de l'UEObligations clésSanction maximaleDate d'application
InacceptableArticle 5Interdiction pure et simple ; cessation obligatoire du déploiement35 M€ ou 7 % du chiffre d'affaires02.02.2025
ÉlevéArticles 6 à 51Évaluation de la conformité, gestion des risques, surveillance humaine, documentation technique, enregistrement dans la base de données de l'UE15 M€ ou 3 % du chiffre d'affaires02.08.2026 / 02.08.2027
LimitéArticle 50Informations de transparence (p. ex. informer les utilisateurs qu'ils interagissent avec une IA, étiqueter le contenu généré par IA)15 M€ ou 3 % du chiffre d'affaires02.08.2026
MinimalAucun article spécifiqueAucune exigence obligatoire ; codes de conduite volontaires encouragésS.O.S.O.