Le règlement européen sur l’intelligence artificielle (IA) vise à établir un cadre juridique uniforme pour les systèmes d’IA, pour les promouvoir, tout en assurant la protection de la santé, de la sécurité et des droits fondamentaux au sein de l’Union européenne (UE). Il s’applique à toute entité qui fournit, déploie, importe, distribue des systèmes ou modèles d’IA sur le territoire de l’UE.

Régulation des usages de l’IA au sein de l’UE

Le règlement ne s’applique pas aux systèmes d’IA à des fins militaires, de défense ou de sécurité nationale, et ce, peu importe le type d’entité impliqué. Pour réguler les différents systèmes d’IA, le texte définit quatre catégories d’utilisation de l’IA, auxquelles s’appliquent différentes règles et interdictions.

Premièrement, le règlement définit une liste de pratiques présentant un risque inacceptable et qui sont prohibées [1] : il s’agit en particulier des systèmes de notations sociales. Ensuite, les systèmes d’IA dit à « haut risque » sont soumis à des obligations strictes pour pouvoir être mis sur le marché [2]. Ces systèmes englobent notamment les systèmes d’IA destinés à être utilisés en tant que composants de sécurité dans la gestion et l’exploitation d’infrastructures numériques critiques, telles que le trafic routier ou la fourniture d’eau. Pour les systèmes d’IA, tels que les chatbots, qui interagissent directement avec des personnes physiques, le règlement impose une obligation d’identification des contenus issus d’une IA [3].

En parallèle, le règlement prévoit également l’encadrement des modèles d’IA à usage général qui constituent une catégorie à part entière avec des obligations supplémentaires. Cette catégorie englobe les modèles d’IA qui présentent une grande généralité et sont capables d’exécuter avec compétence un large éventail de tâches distinctes (ChatGPT, Mistral AI, etc.). Enfin, le règlement ne prévoit pas d’obligations pour tous les systèmes d’IA qui n’entrent pas dans les catégories précitées.

En cas de non-respect des obligations selon ces différentes catégories, une gradation de sanctions administratives et financières est prévue. Les Etats membres doivent déterminer le régime des sanctions qui peuvent comprendre des avertissements et des mesures non monétaires, comme une interdiction de mise sur le marché des systèmes d’intelligence artificielle qui ne répondent pas aux conditions prévues par le règlement.

Pour compléter le règlement, le législateur européen proposait une directive sur la responsabilité en matière d’IA. L’objectif était d’aménager et d’uniformiser les régimes de responsabilité en cas de dommages causés par des produits ou services issus de systèmes d’IA. La directive sur la responsabilité de l’IA prévoyait en particulier la possibilité d’un renversement de la charge de la preuve pour qu’elle pèse sur les fabricants de systèmes d’IA. Néanmoins, en l’absence d’un accord prévisible entre les Etats membres, ce projet de directive a été abandonné en février 2025. La Commission évaluera si une autre proposition devrait être déposée ou si un autre type d’approche devrait être choisi. A ce stade, c’est donc les droits communs nationaux de la responsabilité qui s’appliquent, avec la transposition à venir de la nouvelle directive sur la responsabilité des produits défectueux qui englobe maintenant les logiciels et s’appliquera par voie de conséquence à l’IA.

Un règlement au soutien de l’innovation

Outre cet objectif d’encadrement des systèmes d’IA, le règlement vise à encourager l’innovation des différents acteurs de l’IA, grâce à la mise en place de cadres sécurisés qui sont dénommés « bacs à sable réglementaires ». Il s’agit d’espaces de test de systèmes d’IA encadrés pendant une période définie par les autorités des Etats membres, dans lesquels les développeurs de systèmes d’IA peuvent tester leurs modèles en conditions réelles sans risque immédiat de sanction. Les autorités compétentes fournissent des orientations, une supervision et un soutien en vue d’identifier les risques, les mesures d’atténuation et leur efficacité par rapport aux obligations et exigences du règlement.

Une gouvernance à deux niveaux

Le règlement prévoit un système de gouvernance sur plusieurs niveaux comprenant une supervision au niveau européen et une mise en œuvre nationale dans chaque Etat membre. Au niveau européen, le Bureau européen de l’IA a été créé par décision de la Commission européenne et supervise l’application des règles pour les modèles d’IA à usage général. Il contribue notamment à l’application de la législation sur l’IA à travers l’ensemble des Etats membres. En tant que centre d’expertise, il a également vocation à développer des outils, des méthodologies et des repères pour évaluer les capacités et la portée des modèles d’IA à usage général.

En sus du Bureau, le règlement met en place le Comité européen de l’IA qui regroupe des représentants de chaque Etat membre et assiste la Commission et les Etats membres afin de faciliter l’application cohérente et efficace du règlement. Il a plusieurs missions dont les conseils sur la mise en œuvre du règlement, et la publication de recommandations et avis écrits pour l’interprétation du règlement.

Au niveau national le règlement prévoit que chaque Etat membre désigne une ou plusieurs autorités administratives compétentes. Ces dernières doivent veiller à la conformité des systèmes d’IA au règlement, effectuer des contrôles et imposer des sanctions en cas de non-respect. En France, l’autorité nationale compétente pour la mise en œuvre du règlement n’a pas encore été désignée.

Entrée en application des premières mesures en 2025

Depuis le 2 février 2025, les interdictions relatives aux systèmes d’IA présentant des risques inacceptables sont entrées en vigueur. Les pratiques interdites sont notamment les systèmes qui emploient des techniques manipulatrices ou subliminales pour altérer les comportements humains ; les systèmes exploitant les vulnérabilités d’une personne physique ou d’un groupe spécifique en raison d’un handicap, de leur âge, de leur situation socio-économique pour fausser le comportement ; les systèmes permettant l’évaluation ou la classification d’individus ou de groupes sur la base de leur comportement social ou de leurs traits personnels.

Ces interdictions concernent également les systèmes d’identification biométrique à distance en temps réel dans les lieux publics, sauf dans certains cas exceptionnels prévus à l’article 5 du règlement. Toute entité qui ne respecterait pas ces interdictions sur les systèmes d’IA à risque inacceptable s’expose à une amende administrative pouvant aller jusqu’à 35 millions d’euros ou 7 % de son chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

A compter du 2 août 2025, entreront en vigueur les dispositions relatives aux systèmes d’IA à usage général. Les entités concernées devront répondre à une obligation de documentation technique complète, de transparence, de conformité au droit d’auteur et droits voisins et à une obligation de fournir un résumé détaillé des sources de données utilisées pour entraîner le modèle d’IA. C’est également à cette date que les autorités nationales compétentes seront nommées au sein des Etats membres. L’application du règlement se poursuivra avec les règles relatives aux systèmes d’IA à haut risque et la mise en œuvre des bacs à sable réglementaires par les Etats membres en 2026 et en 2027.

[1] Article 5 du règlement (UE) 2024/1689.

[2] Chapitre III du règlement (UE) 2024/1689.

[3] Chapitre V du règlement (UE) 2024/1689.