Table of Contents

    Qu’est-ce qu’un système d’intelligence artificielle ?

    Un système d’intelligence artificielle ou système d’IA est défini comme « un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels. » (article 3, 1) de l’AI Act

    Par exemple, un système d’IA peut être conçu pour résoudre un problème complexe dans un contexte spécifique, comme avec l’utilisation :

    • d’assistants virtuels (Alexa, Siri ou Google Assistant) ;
    • d’algorithmes de recommandation de contenu sur les plateformes de streaming ;
    • de systèmes de reconnaissance faciale ;
    • de services de traduction automatique.

    Le système d'IA englobe l'ensemble des éléments nécessaires pour déployer et utiliser efficacement un ou plusieurs modèles d'IA à usage général dans un contexte réel, y compris une infrastructure IT (par exemple l’interface utilisateur). 

    La Commission européenne a publié début février 2025 des lignes directrices non contraignantes sur la définition du système d’IA. Ces lignes directrices sont conçues pour évoluer au fil du temps et seront mises à jour si nécessaire, notamment à la lumière de l’expérience pratique, des nouvelles questions et des cas d’utilisation qui se présentent. Elles complètent les lignes directrices sur les pratiques interdites dans le domaine de l’intelligence artificielle (voir ci-dessous).

    À qui s'applique le règlement sur l'intelligence artificielle (AI Act) ? 

    L’AI Act établit des obligations tant pour les acteurs publics et privés, il s’agit  :

    • des fournisseurs (c’est-à-dire développeurs d’un système d’IA ou d’un modèle d’IA à usage général) ;
    • des déployeurs (c’est-à-dire utilisateurs d’un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel) ;
    • des importateurs et distributeurs de systèmes d’IA ;
    • et des fabricants de produits et de systèmes d’IA.

    Ces obligations valent aussi bien pour les fournisseurs et déployeurs établis à l’intérieur qu’à l’extérieur de l’UE, pour autant que le système d’IA est placé sur le marché européen ou que les résultats produits par le système soient utilisés dans l’UE. 

    Les obligations imposées à ces acteurs varieront en fonction du niveau de risque présenté par le système d’IA.  

    L’AI Act ne s’applique pas aux systèmes (et modèles) d’IA utilisés :

    • dans le cadre de la recherche et du développement scientifique ;
    • mis en service ou utilisés à des fins militaires, de défense et de sécurité nationale ;
    • utilisés dans le cadre d’une activité personnelle et non professionnelle. 
    Quels sont les différents niveaux de risque et les obligations y afférentes ? 

    L’AI Act suit une approche fondée sur le risque : plus le risque d’un système d’IA est élevé, plus les règles applicables sont strictes. Dans ce cadre, l’AI Act introduit quatre niveaux de risque pour les systèmes d’IA. 

    Le risque inacceptable

    Un nombre limité d’utilisations de l’IA porte atteinte aux droits fondamentaux et aux valeurs de l’UE. Ces systèmes d’IA sont interdits depuis le 2 février 2025. Si votre institution ou entreprise utilise un des systèmes d’IA qui tombent sous cette catégorie, vous devrez donc cesser de l’utiliser. Il s’agit (article 5 de l’AI Act) :

    • des systèmes établissant une notation sociale des personnes basée sur le comportement social ou les caractéristiques personnelles, pouvant conduire à des résultats négatifs ou défavorables ;
    • de systèmes menant à la manipulation du comportement de groupes vulnérables entraînant des dommages importants, comme une voix générée par l’IA dans les jouets qui déclenche un comportement dangereux chez les enfants ; 
    • des systèmes déployant des techniques subliminales, manipulatrices ou trompeuses pour déformer le comportement et altérer la prise de décision éclairée, causant ainsi des dommages importants ;
    • des systèmes de police prédictive ciblant les individus, fondés uniquement sur le profilage des personnes ;
    • des systèmes compilant des bases de données de reconnaissance faciale par récupération non ciblée d'images faciales à partir d'Internet ou de séquences de vidéosurveillance (« scraping ») ;
    • des systèmes de catégorisation biométrique pouvant induire à des inférences sur les opinions politiques d’un individu, son affiliation à une organisation syndicale, ses convictions religieuses, sa race, sa vie sexuelle ou son orientation sexuelle ;
    • des systèmes de reconnaissance des émotions (telles que le bonheur, la tristesse, la colère, l’étonnement, la honte, etc. mais par exemple pas la douleur ou la fatigue) sur le lieu de travail et dans les établissements d’enseignement ;
    • des systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives. Quelques exceptions peuvent être prévues par les États membres dans les cas où l'utilisation est strictement nécessaire pour confirmer l'identité d'une personne spécifiquement visée. Cela inclut par exemple la recherche ciblée de personnes victimes d'enlèvement ; de personnes victimes de traite d’êtres humains ; ou de personnes disparues, avec des garanties supplémentaires.

    La Commission européenne a également publié début février 2025 des lignes directrices non contraignantes sur les pratiques interdites dans le domaine de l’intelligence artificielle. Ces lignes directrices contiennent des explications juridiques et des exemples pratiques pour aider les parties prenantes à comprendre et à respecter les exigences de l’AI Act.

    Le risque élevé (ou haut risque)

    Un système d’IA à haut risque est un système d’IA qui peut avoir une incidence préjudiciable significative sur la santé, la sécurité et les droits fondamentaux des citoyens dans l’Union. Ces systèmes d’IA à haut risque sont autorisés dans l’Union pour autant qu’ils satisfassent à certaines exigences contraignantes strictes, y compris à une évaluation anticipative de la conformité. Par exemple, sont considérés à haut risque :

    • les systèmes d’IA utilisés lors du recrutement de travailleurs pour la sélection et l’évaluation des cv ;
    • les outils d’IA pour évaluer la solvabilité des personnes physiques souhaitant contracter un prêt.

    Les dispositions concernant les systèmes à haut risque seront applicables dès le 2 août 2026, à l’exception des systèmes qui sont classés comme étant à haut risque parce qu'ils sont couverts par la législation sur les produits réglementés, énumérés à l'annexe I. Pour ces systèmes, les obligations seront applicables dès le 2 août 2027.(article 6 pour les règles de classification, et article 8 et suivants pour les exigences applicables aux systèmes d’IA à haut risque.) 

    Le risque limité ou de transparence

    Cette catégorie concerne les systèmes qui interagissent avec des personnes physiques et qui ne sont pas à risque inacceptable. Ces systèmes peuvent parfois également être classés dans la catégorie des risques élevés. En effet, les risques de ces systèmes peuvent être liés à la manipulation, l’usurpation d’identité ou l’hypertrucage (deepfake), par exemple à travers l’utilisation de chatbots ou de contenus générés artificiellement. Ces systèmes sont donc soumis à des obligations en matière d’information et de transparence dans le but de garantir leur fiabilité. Par exemple, les utilisateurs de chatbots doivent être informés qu'ils interagissent avec une machine et non avec un humain. Ils doivent également être informés qu’un contenu a été généré par IA, que ce soit du texte, du contenu audio ou vidéo. Ces dispositions seront applicables dès le 2 août 2026. (article 50 de l’AI Act

    Le risque minimal

    La grande majorité des systèmes d’IA qui sont actuellement utilisés dans l’UE relèvent de cette catégorie et l’AI Act ne prévoit pas d’obligation légale supplémentaire à leur encontre. Rien ne change donc pour ces systèmes d’IA utilisés. Cette catégorie concerne par exemple les jeux vidéo pilotés par IA ou les filtres anti-spam. Les fournisseurs de ces systèmes peuvent toutefois souscrire de manière volontaire aux exigences relative à l’AI Act et adhérer aux codes de conduite volontaires. 

    Obligations pour les modèles GPAI

    L’AI Act contient également des règles concernant les modèles d’IA à usage général ou « general purpose AI models » (modèles GPAI), notamment dans le domaine de l’IA générative, qui sont de plus en plus intégrés dans des systèmes d’IA. Ces modèles peuvent être utilisés pour diverses tâches (par exemple les grands modèles de langages ou « LLM » pour les chatbots, mais aussi les générateurs d’images ou de sons). Le règlement introduit certaines obligations de transparence et de documentation minimales spécifiquement pour les fournisseurs de modèles GPAI. Les dispositions concernant les modèles d’IA à usage général seront applicables dès le 2 août 2025. Le GPAI étant encore en plein développement, l’AI Act laisse également une grande marge de manœuvre pour de futurs ajustements (voir la question sur GPAI et le chapitre V de l’AI Act).

    Il est à noter que les obligations spécifiques de l‘AI Act s'appliquent en fonction du type de systèmes d'IA ou de modèles GPAI en question. Il est donc possible qu'un fournisseur doive se conformer à différents types d'exigences en fonction du sujet et de la finalité prévue pour le système d'IA. 

    Qu’est-ce qu’un modèle GPAI et comment est-il réglementé ?

    Un modèle GPAI, ou modèle d’IA à usage général, est défini comme un « modèle d’IA, y compris lorsque ce modèle d’IA est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle, qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché » (article 3, 63) de l’AI Act). 

    En résumé, les modèles d'IA sont classés comme modèles GPAI lorsqu'ils peuvent effectuer de manière compétente une grande variété de tâches distinctes. L'exemple le plus courant de modèles GPAI est par exemple celui des grands modèles de langage (LLM), qui constituent la base des outils de chat les plus populaires ces dernières années, par exemple ChatGPT, Copilot ou Gemini.

    L’AI Act divise les modèles GPAI en deux catégories.

    1. La première catégorie regroupe simplement les modèles considérés comme GPAI.
    2. La seconde catégorie s’applique à un sous-ensemble de ces modèles qui sont identifiés comme présentant un risque systémique (chapitre V de l’AI Act).

    Les dispositions concernant les modèles d’IA à usage général sont applicables dès le 2 août 2025. 

    Les obligations relatives aux modèles GPAI

    Le règlement applique des exigences au fournisseur du modèle GPAI, c’est-à-dire la partie qui développe le système d'IA et le met à disposition sur le marché de l'UE ou le fournit à un déployeur tiers du modèle dans l'Union européenne. L’AI Act impose quatre principales exigences au fournisseur d'un modèle GPAI (article 53 de l’AI Act) : 

    1. Élaborer et tenir à jour la documentation technique du modèle, y compris son processus d’entraînement et d’essai et les résultats de son évaluation.
    2. Élaborer, tenir à jour et mettre à disposition des informations et de la documentation à l’intention des fournisseurs de systèmes d’IA qui envisagent d’intégrer le modèle d’IA à usage général dans leurs systèmes d’IA.
    3. Se conformer au droit de l’Union en matière de droit d’auteur et droits voisins.
    4. Élaborer et mettre à disposition un résumé détaillé du contenu utilisé pour entraîner le modèle GPAI. 

    Sous certaines conditions, les fournisseurs qui rendent leurs modèles accessibles au public « sous une licence libre et open source » ne sont pas soumis aux deux premières exigences, sauf si celles-ci présentent un risque systémique.

    Les obligations relatives aux modèles GPAI présentant un « risque systémique »

    Certains modèles GPAI peuvent également être identifiés comme ayant des capacités à fort impact, par conséquent, être classés comme « modèle GPAI présentant un risque systémique ». Cela signifie par exemple le risque de provoquer des accidents graves, ou d’être utilisés à mauvais escient quand ces modèles sont puissants ou répandus (par exemple lancer des cyberattaques, propager des informations à effet discriminatoire, etc.). Actuellement, tout modèle GPAI qui a été entraîné à l'aide d'une puissance de calcul totale supérieure à 1025 opérations en virgule flottante (« floating-point operations », ou « FLOP ») est considéré comme un modèle GPAI pouvant comporter un risque systémique.

    Ces modèles GPAI avec risque systémique suivent une « approche en deux étapes » : Outre les exigences précitées pour les modèles GPAI, les fournisseurs sont également soumis à des obligations supplémentaires telles que :

    • la réalisation d’une évaluation du modèle ;
    • l’évaluation et l’atténuation de risque systémique éventuels au niveau de l’Union ;
    • la signalisation d'incidents sérieux et la prise de mesures de cybersécurité.

    (article 55 de l’AI Act et son annexe XIII)

    En pratique, il n’existe actuellement que très peu de systèmes dans le monde qui figurent dans cette catégorie. Le Bureau européen de l’IA (« AI Office ») encourage et facilite l’élaboration de codes de bonnes pratiques. L’objectif est de déterminer si un modèle d’IA à usage général doit être considéré comme étant à risque systémique, et aider les fournisseurs à se conformer aux exigences et obligations du règlement.

    Comment savoir si un système d'IA est à haut risque ?

    Conformément aux règles de l'UE en matière de sécurité des produits, la classification des risques repose sur l'utilisation prévue du système d'IA. Dès lors, cette classification dépend de la fonction exécutée par le système, ainsi que son objectif spécifique et les conditions dans lesquelles il est utilisé. 

    Deux situations peuvent entraîner la classification d'un système d'IA comme à haut risque (article 6, paragraphe 1 de l’AI Act) : 

    • Lorsque le système d'IA est intégré en tant que composant de sécurité dans des produits régis par la législation existante sur les produits (annexe I), ou lorsqu'il constitue lui-même un tel produit, par exemple les logiciels médicaux basés sur l'IA ; 
    • Lorsque le système d'IA est conçu pour un usage à haut risque identifié dans l’annexe III de l’AI Act.

    L’annexe III définit huit domaines d'utilisation de système d’IA à haut risque (article 6, paragraphe 2 de l’AI Act), au sein desquels certains cas d’utilisation spécifique sont identifiés : 

    1. La biométrie* 
    2. Les infrastructures critiques 
    3. L’éducation et les formations professionnelles  
    4. L’emploi, la gestion de la main-d'œuvre et l’accès à l'emploi indépendant  
    5. L’accès et le droit aux services privés essentiels, aux services publics et aux prestations sociales essentiels
    6. La répression*  
    7. La migration, l’asile et la gestion des contrôles aux frontières*  
    8. L’administration de la justice et les processus démocratiques  

    (*) : dans la mesure où leur utilisation est autorisée par le droit de l'Union ou le droit national applicable.

    Des lignes directrices sont en cours de préparation par la Commission européenne afin de faciliter la classification des systèmes d’IA à haut risque, et seront disponibles d’ici le début du mois de février 2026. 

    Quelles sont les obligations pour les fournisseurs et déployeurs de systèmes d’IA à haut risque ?

    La plupart des obligations de l’AI Act, telles qu’indiquées à l’article 16, incomberont aux fournisseurs de systèmes d’IA à haut risque. La principale obligation est de veiller à ce que leur système d’IA à haut risque soit soumis à la procédure d’évaluation de conformité applicable (article 43 de l’AI Act) avant la mise sur le marché ou la mise en service de ce système. Cela nécessite notamment :

    • la rédaction de déclarations UE de conformité ;
    • l’apposition du marquage CE ;
    • l’enregistrement du système d’IA dans la base de données de l'UE sur les systèmes d’IA à haut risque.

    Les autres acteurs de la chaîne de valeur, y compris les déployeurs, sont principalement responsables de la conformité de l’utilisation du système qu’ils distribuent ou intègrent dans leurs services. 

    Les systèmes d’IA à haut risque qui ont déjà été soumis à une procédure d’évaluation de la conformité sont soumis à une nouvelle procédure d’évaluation de la conformité lorsqu’ils font l’objet de modifications substantielles (peu importe si le système modifié est destiné à être distribué plus largement ou s’il reste utilisé par le déployeur actuel). 

    En résumé, les fournisseurs de systèmes d’IA à haut risque doivent remplir plusieurs obligations établies à l’article 16 de l’AI Act

    • Système de gestion des risques : mettre en place un système de gestion des risques en adoptant des mesures appropriés et ciblées (article 9 de l’AI Act) ;
    • Données et gouvernance des données : assurer la qualité et la non-discrimination des ensembles de données alimentant le système (article 10 de l’AI Act) ;
    • Documentation technique : établir la documentation technique incluant au minimum les éléments énoncés à l’annexe IV (article 11 de l’AI Act) ;
    • Traçabilitéet transparence : assurer la disponibilité des archives (« logs ») tout au long de la durée de vie du système (articles 12-13 de l’AI Act) ;
    • Supervision humaine : mettre en œuvre des mesures appropriées de contrôle humain visant à prévenir ou à réduire au minimum les risques pour la santé, la sécurité ou les droits fondamentaux, de sorte que la personne physique puisse intervenir si nécessaire (article 14 de l’AI Act) ;
    • Exactitude, robustesse et sécurité : assurer un niveau approprié d’exactitude, de robustesse et de cybersécurité tout au long du cycle de vie du système d’IA (article 15 de l’AI Act) ;
    • Système de gestion de la qualité : mettre en place un système de gestion de la qualité comprenant au minimum les éléments établis à l’article 17, paragraphe 1 de l’AI Act ;
    • Evaluation de conformité : veiller à ce que le système d’IA à haut risque soit soumis à la procédure d’évaluation de conformité applicable visée à l’article 43 de l’AI Act avant sa mise sur le marché ou sa mise en service ; 
    • Déclaration de conformité de l'UE : rédiger et signer une déclaration de conformité, contenant les informations visées à l’annexe V, pour chaque système d'IA à haut risque affirmant la conformité avec les exigences énoncées à la section 2. Celle-ci est mise à jour en cas d’évolution des solutions d’IA pendant 10 ans (article 47 de l’AI Act) ;
    • Marquage CE : assurer que le marquage CE est apposé de manière visible, lisible et indélébile, ou accessible numériquement pour les systèmes numériques (article 48 de l’AI Act) ;
    • Enregistrement : inscrire le fournisseur du système et enregistrer le système dans la base de données de l’UE (article 49 de l’AI Act).

    Les déployeurs de systèmes d’IA à haut risque sont également soumis à des obligations. Ceux-ci contrôlent la manière dont le système d’IA est utilisé dans la pratique, et exercent donc une influence majeure sur les risques qui peuvent survenir. Leurs obligations sont reprises à l’article 26 de l’AI Act et comprennent notamment : 

    • de prendre de mesures techniques et organisationnelles pour garantir que le système d'IA à haut risque est utilisé conformément aux instructions d'utilisation qui l’accompagnent ;
    • d’assurer que le contrôle humain du système soit réalisé par des personnes qui disposent des compétences, de la formation, du soutien et de l’autorité nécessaires ;
    • d’informer les représentants des travailleurs et les travailleurs concernés avant qu’un système d’IA à haut risque ne soit utilisé sur leur lieu de travail ;
    • de surveiller le fonctionnement du système d’IA à haut risque sur la base de la notice d’utilisation.

    Si le déployeur considère que le système d’IA à haut risque pourrait présenter un risque pour la santé, la sécurité ou les droits fondamentaux des personnes, il devra :

    • en informer le fournisseur ou le distributeur ainsi que l’autorité de surveillance du marché concernée ;
    • suspendre l’utilisation de ce système.
    Quelles sont les sanctions en cas d'infraction de l’AI Act ?

    En cas d’infraction concernant les pratiques interdites ou le non-respect des exigences relatives aux données, la sanction peut aller jusqu’au montant le plus élevé entre 7 % du chiffre d'affaires annuel mondial total réalisé au cours de l’exercice précédent ou 35 millions d’euros

    Pour les infractions relatives à la non-conformité aux obligations prévues par le règlement, par exemple concernant l’IA à haut risque, la sanction peut aller jusqu’au montant le plus élevé entre 3 % du chiffre d'affaires annuel mondial total réalisé au cours de l’exercice précédent ou 15 millions d’euros

    En cas de transmission d’informations inexactes, incomplètes ou trompeuses, la sanction peut aller jusqu’au montant le plus élevé entre 1 % du chiffre d'affaires annuel mondial total réalisé au cours de l’exercice précédent ou 7,5 millions d’euros

    Pour les PME et start-up, le seuil le plus faible du montant des sanctions sera retenu. 

    Quel est le cadre de gouvernance pour l’AI Act au niveau national et européen ?

    Le cadre de gouvernance de l’AI Act se situe aux niveaux national et européen, avec une concertation et coopération entre les deux niveaux. La structure de gouvernance pour ces deux niveaux comprend cinq composantes :

    1. Les autorités nationales compétentes
    2. Le Bureau de l’IA (« AI Office »)
    3. Le Comité de l’IA (« AI Board »)
    4. Un forum consultatif
    5. Un groupe scientifique d’experts indépendants

    Les deux premières sont responsables de la mise en œuvre et de l’application correctes de l’AI Act et du contrôle de son respect. Les trois dernières sont principalement des forums de concertation.

    Les États membres jouent un premier rôle important dans l'exécution de l’AI Act. D’ici le 2 août 2025, chaque État membre devra désigner au moins une autorité notifiante et une autorité de surveillance du marché en tant qu'autorités nationales compétentes. Ces autorités devront exécuter leurs tâches de manière indépendante, avec impartialité et objectivité.

    • Les autorités de surveillance du marché sont compétentes pour contrôler l’application et la mise en œuvre de l’AI Act, en particulier l’application et la mise en œuvre correcte des exigences contraignantes applicables aux systèmes d’IA à haut risque. De plus, elles exercent une surveillance du marché, sauf pour :
      • les entités de l’UE sur lesquelles le Contrôleur européen de la protection des données exercera une surveillance du marché ;
      • les modèles GPAI qui seront contrôlés par le Bureau de l’IA.
    • En revanche, les autorités notifiantes notifient les organismes d’évaluation de la conformité (ci-après les « organismes notifiés »). À leur tour, ces organismes procéderont à l’évaluation de conformité anticipative nécessaire des systèmes d’IA à haut risque lorsque l’AI Act le prévoit. Parfois, l’AI Act prévoit également un contrôle interne par le fournisseur, plutôt que par une autorité notifiante.

    La mise en place du cadre de gouvernance en Belgique est en cours.

    Au niveau de l’UE, le Bureau de l’IA (« AI Office») est une agence établie en février 2024 au sein de la Commission européenne, et qui veille à la mise en œuvre et à l’application de manière cohérente de l’AI Act dans tous les États membres. L’AI Office apporte également un soutien général à la mise en œuvre de l’AI Act, notamment en assurant le secrétariat de l’AI Board. Les tâches de l’AI Office comprennent notamment :

    • la promotion et la facilitation de l’élaboration de codes de bonnes pratiques au niveau de l’Union ;
    • la fourniture d’une assistance à la Commission européenne dans l’élaboration d’actes délégués et d’actes d’exécution, par exemple pour mettre à jour la liste des systèmes à haut risque dans l’annexe III, dans l’élaboration de lignes directrices par exemple sur l’application des pratiques d’IA interdites ;
    • la fourniture d’une assistance technique, de conseils et d’outils pour la création et le fonctionnement d’environnements d’essai de réglementation de l’IA et, le cas échéant, la coordination avec les autorités nationales compétentes qui créent de tels environnements d’essai.

    Par ailleurs, l’AI Office a des compétences exclusives en ce qui concerne les dispositions relatives aux modèles GPAI.

    Le Comité européen de l’intelligence artificielle (« AI Board») est composé de représentants des États membres, avec la participation du Bureau de l’IA, en tant que secrétariat, et du Contrôleur européen de la protection des données comme observateurs. L’AI Board sert, entre autres, de forum de concertation pour les autorités nationales compétentes. L’une de ses principales responsabilités est de fournir des conseils et une assistance pour la mise en œuvre de l’AI Act, notamment en discutant des lignes directrices, et des projets d’actes délégués et d’actes d’exécution. Le comité créera ainsi deux sous-groupes permanents chargés de fournir une plateforme de coopération et d’échange entre les autorités de surveillance du marché et les autorités notifiantes. Des sous-groupes temporaires ou permanents additionnels peuvent être crées pour examiner des questions spécifiques.

    Enfin, l’AI Act établit également deux organes consultatifs chargés de fournir des avis d’experts : le forum consultatif et le groupe scientifique. Ils se distinguent par leurs membres : ce sont des parties prenantes composés de représentants de l’industrie, des start-ups, des PME, de la société civile et du monde universitaire. Ces parties prenantes siègent au forum consultatif, tandis que des experts techniques indépendants composent le groupe scientifique et conseillent également le Bureau de l’IA en matière de modèles GPAI. Les États membres pourront aussi s’appuyer sur l’expertise de ce « pool » d’experts. 

    Quand le règlement sur l'IA sera-t-il pleinement applicable ?

    L’AI Act est entré en vigueur le 1er août 2024 et s'appliquera par phase en fonction de différentes priorités. Les dates butoirs les plus importantes sont listées ci-dessous : 

    • 2 novembre 2024: les autorités nationales compétentes pour la protection des droits fondamentaux dans le cadre de l’utilisation de systèmes d’IA à haut risque de l’annexe III doivent être définies et publiées.
    • 2 février 2025 : les dispositions générales et les dispositions relatives aux pratiques interdites en matière d’IA s’appliquent. 
    • 2 août 2025 : au bout d’un an, les obligations relatives aux modèles GPAI et aux sanctions s’appliqueront, ainsi que les règles de gouvernance, y compris la désignation des autorités nationales compétentes.
    • 2 août 2026 : après deux ans, la majeure partie de l’AI Act sera d’application, notamment les dispositions relatives aux systèmes d’IA à haut risque de l’annexe III ; ainsi que la mise en œuvre d’au moins un bac à sable réglementaire par au moins une autorité nationale. 
    • 2 août 2027 : après trois ans, l’ensemble de l’AI Act sera d’application, y compris les dispositions relatives aux systèmes d’IA à haut risque couvertes par la législation européenne harmonisées sur les produits réglementés (annexe I, section A).
    • 31 décembre 2030 : enfin, les systèmes d’IA qui sont des composants des systèmes d’information à grande échelle établis par les actes juridiques énumérés à l’annexe X (qui traite les actes législatifs de l’Union relatifs aux systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice) et mis sur le marché ou mis en service avant le 2 août 2027 doivent être mis en conformité avec l’AI Act (sans préjudice de l’application de l’article 5 visé à l’article 113, paragraphe 3, point a).
    Le règlement sur l'IA est-il adapté aux évolutions futures ?

    L’IA étant une technologie en rapide évolution, les applications d’IA doivent rester fiables même après leur mise sur le marché. Cela nécessite une gestion continue de la qualité et des risques de la part des fournisseurs. L’AI Act prévoit une approche évolutive, permettant aux règles de s’adapter aux changements technologiques. 

    Bien que l’AI Act fixe des exigences et des obligations, il laisse au secteur la préparation des solutions techniques et de leur mise en œuvre concrète. Cette préparation se fait à travers la rédaction de normes et de codes de pratiques harmonisés par le secteur. Cette approche flexible permet d'adapter les pratiques aux différents cas d'utilisation et de favoriser l'émergence de nouvelles technologies. 

    De plus, le règlement peut être modifié par des actes délégués ou d'exécution, par exemple pour réévaluer la liste des cas d'utilisation à haut risque figurant à l'annexe III. Enfin, des évaluations régulières de certaines parties du règlement, puis de son l'ensemble, seront effectuées afin d'identifier les éventuels besoins de révisions ou d'ajustements. 

    Quel est le rôle du Pacte sur l'IA dans la mise en œuvre de l’AI Act ?

    Le pacte sur l'intelligence artificielle est un engagement volontaire conçu pour encourager les entreprises, les développeurs et les autres parties prenantes à anticiper et à respecter les règles de l'AI Act avant les échéances légales. Ce pacte a été mis en place par la Commission européenne comme une mesure transitoire avant l'entrée en application complète de l'AI Act. Il vise à renforcer la responsabilité, la transparence et la sécurité autour de l'IA tout en favorisant l'innovation dans ce domaine. 

    Hormis l’anticipation et la préparation à la réglementation, un engagement volontaire au pacte et à ses principes permet également :

    • aux participants d’anticiper et de se préparer à la réglementation ;
    • le renforcement de la confiance des utilisateurs ;
    • une innovation responsable ;
    • la réduction des risques juridiques une fois que l’AI Act sera pleinement appliqué.

    La Commission européenne collabore et soutient les participants, notamment dans :

    • la compréhension commune des objectifs de l’AI Act ;
    • la prise de mesures pour adapter et préparer la mise en œuvre de l’AI Act ;
    • le partage de connaissance, par exemple avec le partage de lignes directrices internes. 

    La participation au Pacte sur l’IA est ouverte à toutes parties prenantes, y compris les PME européennes de divers secteurs. Le pacte représente une opportunité d'améliorer la conformité, de renforcer la confiance, de promouvoir l'innovation responsable et de rester compétitif dans un cadre réglementaire mondial de plus en plus exigeant.

    De plus amples informations concernant le Pacte sur l’IA sont disponibles sur le site de la Commission européenne.

    Qu’est-ce qu’un bac à sable réglementaire  ?

    Un bac à sable réglementaire de l’IA (« AI regulatory sandbox ») est défini comme étant un « cadre contrôlé mis en place par une autorité compétente qui offre aux fournisseurs ou aux fournisseurs potentiels de systèmes d’IA la possibilité de développer, d’entraîner, de valider et de tester, lorsqu’il y a lieu en conditions réelles, un système d’IA innovant, selon un plan du bac à sable pour une durée limitée sous surveillance réglementaire. » (article 3, paragraphe 55 de l’AI Act

    Afin de promouvoir l’innovation, l’AI Act permet la création de bacs à sable réglementaires de l’IA ainsi que la réalisation d’essais en conditions réelles. Chaque état membre aura jusqu’au 2 août 2026 pour établir au moins un bac à sable réglementaire de l’IA opérationnel au niveau national par au moins une de ses autorités compétentes. Il est également possible de mettre en place un bac à sable réglementaire transfrontalier avec d’autres États membres.

    Quel rôle pour la normalisation dans le règlement sur l'IA ?

    Des normes européennes harmonisées sont en cours de préparation par les organisations européennes de normalisation CEN-CENELEC à la demande de la Commission européenne. Objectif : mettre en œuvre des exigences particulières pour les systèmes d’IA à haut risque ou les modèles d’IA à usage général. Celles-ci seront publiées fin août 2025 et seront ensuite évaluées par la Commission européenne avant d’être avalisées et publiées dans le journal officiel de l’UE.

    Par la suite, une présomption de conformité pourra être offerte au fournisseur des systèmes d’IA ou de modèles d’IA qui auront été développés conformément à ces normes harmonisées ou à une partie de celles-ci. 

    Qu’est-ce que le code de bonne pratique de l'IA à usage général et en quoi constituera-t-il un outil central pour assurer le respect des obligations pour les modèles GPAI ?

    L’article 56 de l’AI Act décrit le code de bonnes pratiques de l'IA à usage général (« modèles GPAI ») pour les fournisseurs de modèles comme un mode de conformité provisoire. L’objectif est de combler l’écart entre l’entrée en vigueur des obligations des fournisseurs de modèles du GPAI (dès le 2 août 2025) et l’adoption des normes harmonisées par les organisations européennes de normalisation CEN-CENELEC. Le code devrait inclure des objectifs, des mesures et, le cas échéant, des indicateurs de performance clés (ou KPI, pour « key performance Indicator »). Bien que n’étant pas juridiquement contraignant, le respect des mesures énoncées dans le code de bonnes pratiques par les fournisseurs de modèles du GPAI reste utile. Il servira de présomption de conformité aux obligations prévues aux articles 53 et 55 jusqu’à l’entrée en vigueur des normes harmonisées.

    Le code de bonnes pratiques de l'IA à usage général est en cours de rédaction via un processus de consultation multipartite. Sa version finale est prévue pour avril 2025. Le code sera ensuite soumis à une évaluation d’adéquation par le Bureau de l’IA (« AI Office ») et le Comité de l’IA (« AI Board ») avant que la Commission européenne ne décide de lui conférer une validité générale au sein de l’UE via un acte d’exécution. 

    Dernière mise à jour
    11 mars 2025

    Voir aussi

    Réglementation

    Liens utiles

    Dernières actualités pour ce thème

    1. 011-25 Offre internet sociale - Sociaal internetaanbod.jpg
      On-line

      Offre internet sociale : près de 21.000 contrats conclus

      Lire la suite
    2. ""
      Protection des consommateurs
      On-line

      Premier prix du meilleur mémoire dans le domaine de la protection des consommateurs décerné par l’AB-REOC : Responsabilité en cas de fraude par hameçonnage (2024)

      Lire la suite
    3. 024-25 Safer Internet Day.jpg
      Protection des consommateurs
      On-line

      Le SPF Economie ferme 39 sites web frauduleux

      Lire la suite
    Plus d’actualités