AI Act — la nouvelle réalité réglementaire
L'Union européenne a été la première au monde à créer une réglementation complète sur l'intelligence artificielle. Le règlement AI Act (Regulation (EU) 2024/1689) est entré en vigueur le 1er août 2024 et s'applique par étapes : les premières obligations s'appliquent à partir du 2 février 2025, la partie principale à partir du 2 août 2026, l'application complète à partir du 2 août 2027. Toute entreprise déployant des systèmes d'IA dans ses activités opérationnelles dans l'UE doit en prendre connaissance.
L'AI Act n'interdit pas l'intelligence artificielle — il la réglemente selon une approche fondée sur le risque. Plus le risque est élevé, plus les exigences sont strictes. La plupart des cas d'usage commerciaux de l'IA entrent dans les catégories de risque faible ou limité, ce qui signifie des obligations relativement légères. Mais il existe des domaines où les exigences sont très rigoureuses.
Calendrier d'entrée en vigueur (Art. 113)
- 1er août 2024 — entrée en vigueur du règlement
- 2 février 2025 — les interdictions de pratiques dangereuses s'appliquent (Chapitre II, Art. 5) et l'obligation de culture de l'IA (Art. 4)
- 2 août 2025 — obligations pour les fournisseurs de modèles d'IA à usage général (Chapitre V) et dispositions sur les autorités de surveillance et les sanctions
- 2 août 2026 — les obligations pour les systèmes à haut risque s'appliquent (Chapitre III), la transparence des chatbots et des deepfakes (Art. 50), les bacs à sable réglementaires
- 2 août 2027 — application complète, y compris les obligations pour les systèmes à haut risque intégrés dans des produits déjà couverts par la législation d'harmonisation de l'UE existante (Annexe I)
Classification des risques des systèmes d'IA
L'AI Act divise les systèmes d'IA en quatre catégories de risque :
- Risque inacceptable (interdit, Art. 5) — systèmes manipulant le comportement humain en dessous du seuil de conscience, notation sociale par les autorités publiques, surveillance biométrique en temps réel (avec exceptions), reconnaissance des émotions sur le lieu de travail et dans l'éducation, profilage criminel prédictif. Ces systèmes sont interdits.
- Haut risque (Chapitre III, Art. 6-27) — IA utilisée dans le recrutement, le crédit, les soins de santé, l'éducation, l'administration de la justice, les infrastructures critiques. Les exigences les plus strictes : documentation, tests, transparence, surveillance humaine, enregistrement dans la base de données de l'UE.
- Risque limité (Art. 50) — chatbots, deepfakes, systèmes générant du contenu. Obligation de transparence : l'utilisateur doit savoir qu'il parle à une IA, et le contenu généré par l'IA doit être étiqueté de manière lisible par machine.
- Risque minimal — la plupart des applications commerciales de l'IA : filtres anti-spam, recommandations de produits, automatisation des processus internes. Obligations minimales ou nulles.
Qui est un fournisseur et qui est un déployeur d'un système d'IA ?
L'AI Act distingue deux rôles clés. Un fournisseur (provider) est une entité qui crée et met sur le marché un système d'IA. Un déployeur (deployer) est une entité qui utilise un système d'IA dans une activité économique. Les obligations sont différentes pour chaque rôle — les fournisseurs ont des exigences plus rigoureuses concernant la documentation technique et la certification.
Une entreprise qui achète une solution d'IA prête à l'emploi auprès d'un fournisseur et l'utilise pour ses propres processus est un déployeur. Une entreprise qui adapte ou affine un modèle pour ses propres applications peut devenir un fournisseur avec toutes les conséquences qui en découlent.
Obligations des déployeurs de systèmes à haut risque (Art. 26)
Si votre entreprise utilise un système d'IA à haut risque (par ex. un système de scoring dans un processus de crédit, un outil de présélection de CV, un système d'aide au diagnostic médical), vous devez :
- Assurer une surveillance humaine sur les décisions du système d'IA
- Tenir des journaux opérationnels pendant au moins 6 mois
- Effectuer une évaluation d'impact sur les droits fondamentaux (FRIA, Art. 27)
- Informer les employés des systèmes d'IA qui les concernent
- Signaler les incidents graves et les dysfonctionnements à l'autorité de surveillance compétente
Bacs à sable réglementaires (Art. 57-63)
L'AI Act prévoit des bacs à sable réglementaires — un mécanisme qui permet aux entreprises de tester des systèmes d'IA innovants sous la supervision d'une autorité de surveillance, dans un environnement contrôlé. Chaque État membre a l'obligation de lancer au moins un bac à sable d'ici au 2 août 2026. Pour les entreprises développant des solutions d'IA dans des domaines à haut risque, il s'agit d'une voie pratique pour obtenir un retour des régulateurs avant même la certification complète.
Sanctions (Art. 99)
Les sanctions pour violation de l'AI Act sont échelonnées selon le type de violation :
- jusqu'à 35 millions EUR ou 7% du chiffre d'affaires annuel mondial (le montant le plus élevé) pour l'utilisation de pratiques interdites (Art. 5)
- jusqu'à 15 millions EUR ou 3% du chiffre d'affaires annuel mondial pour les violations des autres obligations du règlement
- jusqu'à 7,5 millions EUR ou 1% du chiffre d'affaires annuel mondial pour la fourniture d'informations fausses, incomplètes ou trompeuses aux autorités de surveillance
Pour les PME et les start-ups, le plus bas des deux montants s'applique, afin d'éviter une charge disproportionnée.
Comment ESKOM.AI accompagne la conformité à l'AI Act
ESKOM.AI aide les organisations à se préparer aux exigences de l'AI Act. Nous proposons des audits des systèmes d'IA existants sur la classification des risques, la préparation de la documentation technique, la mise en œuvre de mécanismes de surveillance humaine et de journalisation, ainsi que des formations pour les équipes responsables de la conformité. Chaque nouveau déploiement d'IA que nous réalisons est conçu dans le respect de l'AI Act dès le premier jour.