AI Act : comprendre enfin la logique du règlement européen sur l’intelligence artificielle

Le règlement européen sur l’intelligence artificielle, le règlement (UE) 2024/1689, est déjà présenté comme un texte fondateur. Il l’est, en effet, par son ampleur, par son ambition et par son effet probable bien au-delà de l’Union européenne. Mais il faut immédiatement dissiper un malentendu : l’IA Act n’est pas un texte simple. C’est un règlement long, dense, technique, traversé à la fois par des considérations technologiques, juridiques, industrielles et politiques. L’IA Act n’a pas seulement vocation à encadrer une technologie. Il cherche à organiser les conditions de confiance dans un monde où les systèmes d’intelligence artificielle vont s’insérer dans les activités économiques, les organisations, les services publics et, plus largement, dans les décisions humaines.

Un texte majeur, parce qu’il vise à instaurer la confiance

 L’idée centrale du règlement est simple : l’Europe veut permettre l’usage de l’intelligence artificielle, mais à la condition que cet usage demeure compatible avec un certain nombre de valeurs essentielles. Le règlement crée ainsi une base harmonisée à l’échelle de l’Union européenne. Il poursuit un objectif clair : éviter que la diffusion massive de systèmes d’IA ne s’opère sans cadre commun, sans garde-fous et sans cohérence entre les États membres. L’IA Act impressionne par sa masse : 113 articles, 13 annexes, 180 considérants, 68 définitions. C’est un texte techniquement dense, dont la lecture brute peut décourager même les praticiens les plus aguerris.

Pour le comprendre utilement, il faut distinguer :

• le cadre technique, c’est-à-dire ce dont on parle réellement lorsqu’on parle d’intelligence artificielle ;

• le cadre juridique, c’est-à-dire la manière dont le règlement construit ses obligations : à qui il les applique ;

• les grandes catégories de systèmes d’IA ;

• enfin, les sanctions.

Le vrai objet du règlement : le « système d’IA »

 En pratique, le règlement organise surtout un cadre juridique autour du système d’IA (art. 3 (1)). Pour saisir le sujet simplement, on peut partir d’une idée claire : l’intelligence artificielle repose sur une combinaison entre des algorithmes et des données. Leur combinaison produit quelque chose de nouveau : un système capable de générer des résultats, des recommandations, des classifications, des prédictions ou des contenus. Cette lecture évite deux erreurs fréquentes : réduire l’IA à une technologie purement logicielle ; la réduire, à l’inverse, à la seule question des données.

L’IA est un agencement. Tenant compte de cela, le texte raisonne autour du système d’intelligence artificielle. Un système d’IA est, en substance, un ensemble de composantes logicielles organisé pour atteindre un objectif déterminé. Mais le critère clé n’est pas seulement l’apprentissage. Le critère réellement structurant est l’autonomie. Tous les systèmes d’IA sont des systèmes informatiques. En revanche, tous les systèmes informatiques ne sont pas des systèmes d’IA.

La différence réside dans la capacité du système à produire des résultats avec une certaine autonomie par rapport à l’intention immédiate de son concepteur. C’est cette autonomie que le règlement cherche, au fond, à canaliser pour rendre l’IA compatible avec la confiance.

Les acteurs clés : fournisseurs et déployeurs

Le règlement fait intervenir plusieurs catégories d’acteurs : fournisseurs, déployeurs, importateurs, distributeurs, intégrateurs, entre autres. Mais, en pratique, deux figures dominent l’économie du texte. La première est le fournisseur, c’est-à-dire celui qui met le système sur le marché ou le met en service sous son nom. C’est lui qui porte la charge principale de conformité. La seconde est le déployeur, c’est-à-dire l’organisation, publique ou privée, qui décide d’utiliser le système d’IA dans son activité. Ce terme de déployeur est important. Il remplace utilement une vision trop passive de « l’utilisateur final ». Le règlement considère en effet que celui qui déploie un système d’IA dans une organisation n’est pas un simple usager : il est un acteur du risque.

Première grande catégorie : les pratiques interdites

Le règlement identifie certaines utilisations de l’IA comme inacceptables. Il ne s’agit pas ici de risques à encadrer, mais de risques jugés insupportables au regard des valeurs protégées. Ces pratiques interdites sont visées à l’article 5.

Parmi elles, plusieurs illustrations permettent de comprendre l’esprit du texte :

• l’IA ne doit pas capter ou orienter la décision humaine de manière invisible.

• l’IA ne doit pas exploiter les vulnérabilités ;

• l’IA ne doit pas noter la situation sociale des personnes ;

• l’IA ne doit pas capter l’émotion dans deux milieux où les personnes sont vulnérables : monde professionnel avec les salariés et monde scolaire.

• l’IA ne doit pas hypersurveiller.

Deuxième grande catégorie : les systèmes à haut risque

La catégorie des systèmes à haut risque est centrale dans l’économie du règlement. Ces systèmes ne sont pas interdits. Ils sont considérés comme suffisamment utiles pour pouvoir être déployés, mais suffisamment dangereux pour justifier un encadrement renforcé. Le haut risque peut résulter : soit du lien avec certains produits ou secteurs déjà fortement régulés ; soit du domaine d’usage, par exemple l’emploi, certains usages financiers, la justice ou la démocratie.

La logique du texte est ici très claire : il s’agit d’organiser un management du risque, avec des obligations de conception, de documentation, de surveillance et de gouvernance permettant de maintenir l’usage du système dans un cadre acceptable. L’une des idées forces de l’encadrement des IA à Haut risque c’est de s’assurer que les décisions ne soient pas abandonnées à la machine. Un humain doit conserver une prise sur le processus décisionnel.

Troisième catégorie : les systèmes à risque limité ou à exigence de transparence

C’est le cas le plus courant pour de nombreux usages d’IA générative. Ici, la logique n’est ni l’interdiction ni le régime lourd du haut risque. Elle repose essentiellement sur la transparence. Le principe est simple : lorsqu’une personne interagit avec un système d’IA, elle doit le savoir. Lorsqu’un contenu a été généré ou manipulé par l’IA, cela doit pouvoir être porté à la connaissance des destinataires dans les cas prévus par le texte. Cette exigence est loin d’être accessoire. Elle constitue un pivot du règlement. Elle vise à empêcher la confusion entre production humaine et production artificielle lorsque cette confusion devient juridiquement ou socialement problématique.

Pour les entreprises, cela implique très concrètement :

• d’identifier les cas d’interaction homme/machine ;

• de prévoir des mentions adéquates ;

• d’organiser l’information des utilisateurs finaux ;

• de documenter les usages génératifs sensibles.

Les modèles d’IA à usage général : le tournant de l’IA générative

L’irruption massive de l’IA générative a profondément modifié la négociation du règlement. L’architecture initiale a été revue pour intégrer les modèles d’IA à usage général, c’est-à-dire les grands modèles susceptibles d’être réutilisés dans une multiplicité d’applications. Leur régime est particulier, avec un niveau d’exigence accru lorsqu’ils présentent un risque systémique. Cette catégorie est essentielle car elle reconnaît que certains modèles occupent désormais une place structurante dans l’économie numérique mondiale. Le droit ne peut plus les traiter comme de simples briques techniques neutres.

Les sanctions

Le règlement prévoit un mécanisme de sanction significatif, avec des montants qui ont marqué les commentateurs dès l’adoption du texte. Mais le plus important, à ce stade, est peut-être ailleurs : l’IA Act n’est pas un bloc figé. Il sera progressivement précisé par des textes d’application, des lignes directrices, des interprétations et des positions de la Commission.

Il faut donc éviter deux erreurs : croire que tout est déjà stabilisé ; croire, à l’inverse, qu’il serait trop tôt pour agir. Les entreprises qui attendront un état définitif du droit risquent surtout de perdre du temps sur les vrais sujets : qualification des systèmes, cartographie des usages, gouvernance, documentation, contractualisation et gestion probatoire.

Ce qu’il faut faire maintenant, concrètement

Le principal risque, aujourd’hui, c’est l’absence de méthode. Pour une entreprise ou une organisation, la bonne approche consiste à engager sans tarder cinq chantiers très concrets :

• Cartographier les systèmes d’IA effectivement utilisés ou intégrés :il faut partir des cas d’usage réels.

• Identifier le rôle juridique de l’organisation : fournisseur, déployeur, intégrateur, distributeur : la qualification n’est pas neutre. Elle détermine le niveau d’obligations. 

• Classer les systèmes selon la logique du règlement : pratique interdite, haut risque, obligation de transparence, modèle à usage général, exclusion éventuelle : c’est le cœur de l’analyse. 

• Organiser la gouvernance documentaire et opérationnelle : l’IA Act ne se respecte pas seulement par des principes. Il se respecte par des procédures, des arbitrages, des preuves et des responsabilités internes. 

• Anticiper les articulations avec les autres textes : RGPD, droit de la consommation, responsabilité, droit social, réglementation sectorielle, contrats IT : l’IA Act s’insère dans un environnement normatif plus large.