Conformité

Comprendre la législation de l'UE en matière d'IA : contexte, réglementation et mise en œuvre

La nouvelle loi de l'UE sur l'IA établit des normes dans le monde entier pour la réglementation des systèmes d'IA. Découvrez comment fonctionne l'approche basée sur les risques, quelles amendes pourraient être imminentes et comment Kertos peut vous aider à vous y conformer.

Auteur
Dr. Kilian Schmidt
Date
2.3.2025
Mis à jour le
4.5.2026
Comprendre la législation de l'UE en matière d'IA : contexte, réglementation et mise en œuvre
  • La loi sur l'IA de l'UE est le premier cadre juridique complet au monde pour réglementer l'IA, qui vise à créer un équilibre entre l'innovation et les droits fondamentaux des citoyens de l'UE.
  • Il suit une approche basée sur les risques qui divise les systèmes d'IA en quatre catégories : risque minimal, limité, élevé et inacceptable, avec des règles strictes pour les applications à haut risque.
  • Les entreprises qui enfreignent la loi européenne sur l'IA doivent s'attendre à de lourdes amendes, pouvant atteindre 35 millions d'euros, soit 7 % du chiffre d'affaires mondial annuel.
  • La loi est entrée en vigueur en août 2024 et sera pleinement mise en œuvre d'ici deux ans, avec des délais échelonnés pour la mise en conformité avec la réglementation.
  • Kertos aide les entreprises à répondre aux exigences de conformité pour les systèmes d'IA à haut risque et fournit des solutions pour garantir la conformité à la législation de l'UE en matière d'IA.

L'essor fulgurant de l'IA présente des risques

Ces dernières années, nous avons été impressionnés par l'énorme potentiel de l'intelligence artificielle, notamment grâce à la diffusion rapide de grands modèles linguistiques (LLM)), IA générative et outils d'automatisation. Cependant, l'utilisation croissante de l'IA pour prendre des décisions dans des domaines à haut risque tels que la santé, le recrutement, l'éducation et le commerce électronique a suscité des préoccupations éthiques, sociétales et économiques.

Les déficiences de l'IA, associées à de potentielles violations de la vie privée des individus, à des préjugés accrus, à des processus décisionnels opaques et à une déshumanisation algorithmique, suscitent de graves préoccupations et nécessitent une réglementation. Le développement a atteint un tournant où ses capacités et son utilisation doivent être équilibrées avec son impact sur la société. Les règles existantes n'offraient pas une protection suffisante contre l'adaptabilité, les effets éthiques et le développement rapide.

Loi sur l'intelligence artificielle de l'UE

cette Loi sur l'IA de l'UE, également Loi sur l'intelligence artificielle de l'Union européenne , a été adopté dans le but de réglementer le développement et/ou l'utilisation de l'IA dans l'UE. Il vise à établir un équilibre délicat entre l'innovation apportée par l'IA et les droits fondamentaux des citoyens de l'Union européenne. Avec le paquet d'innovation en matière d'IA et le plan coordonné pour l'IA, la loi européenne sur l'IA constitue un ensemble consolidé de mesures politiques destinées à soutenir le développement d'une IA fiable en Europe et au-delà.

Il s'agit du premier cadre juridique complet pour l'IA au monde et il a de graves conséquences pour tous les principaux acteurs de la chaîne de valeur de l'IA. Le champ d'application de la loi européenne sur l'IA est similaire à celui du règlement général sur la protection des données. Cela signifie que chaque fournisseur qui lance ou utilise son système d'IA dans l'UE est tenu de se conformer à la loi, qu'il appartienne ou non à un État non membre de l'UE. Tant que les systèmes d'IA des entreprises non européennes affectent les citoyens de l'UE, ils sont également soumis à l'application extraterritoriale de la loi.

Les principaux acteurs de la chaîne de valeur de l'IA :

  1. fournisseurs: Développeurs de systèmes d'IA ou de modèles d'IA généraux
  2. utilisateurs: Utilisateur ou implémenteur de systèmes d'IA
  3. importateurs: Ceux qui mettent des systèmes d'IA sur le marché de l'UE depuis l'extérieur de l'UE

Approche de la réglementation fondée sur les risques

Le projet de loi de l'UE adopte une approche de la réglementation basée sur les risques. Il classe les produits d'IA en quatre catégories en fonction du niveau de risque respectif. Les quatre classes de risque comprennent le risque minimal, le risque limité, le risque élevé et le risque inacceptable. Risque faible La loi autorise l'utilisation gratuite des produits d'IA avec un minimum de risques. Les développeurs de ces produits n'ont pas besoin de prendre de mesures de précaution supplémentaires. La grande majorité des applications d'IA utilisées dans l'UE entrent dans cette catégorie. Les exemples incluent les jeux vidéo alimentés par l'IA, les filtres anti-spam, etc.

Risque limité

Le risque limité fait référence aux systèmes d'IA qui obligent les développeurs à faire preuve de transparence en révélant que les utilisateurs interagissent avec l'IA. Par exemple, lorsque des sites Web utilisent des chatbots pour les aider, les utilisateurs doivent être informés qu'ils interagissent avec une machine afin qu'ils puissent prendre une décision éclairée quant à leur démission ou à leur décision de continuer.

Des risques inacceptables

L'article 5 classe certaines technologies d'IA nuisibles et violant les valeurs de l'UE et les droits fondamentaux des citoyens de l'UE dans la catégorie des « risques inacceptables ». L'utilisation, l'offre et la mise en service de tels produits sont strictement interdites par la loi. Parmi les exemples de cas d'utilisation inacceptables, citons la lecture inconsidérée d'images faciales sur Internet, les systèmes d'identification biométrique en temps réel et les systèmes de notation sociale qui manquent de transparence, d'équité ou de responsabilité, en particulier dans les processus de prise de décision.

Risque élevé

L'article 6 de la loi décrit les systèmes d'IA susceptibles d'affecter la sécurité, les droits fondamentaux ou d'autres aspects critiques comme présentant un risque élevé. Ces produits ou composants de sécurité de produits sont également considérés comme présentant un risque élevé et sont réglementés par les lois spécifiques de l'UE mentionnées dans la loi, telles que les lois sur la sécurité des jouets et les diagnostics in vitro.

Les facteurs qui classent un système d'IA comme présentant un risque élevé sont les suivants :

  • Systèmes d'IA utilisés pour évaluer les candidats dans un contexte d'emploi.
  • Gérer les infrastructures critiques susceptibles de mettre en danger la vie et la santé des citoyens.
  • Gestion automatisée de la migration, de l'asile ou des contrôles aux frontières.
  • Déterminer l'accès aux services publics de base, y compris les systèmes qui interrogent le droit aux prestations publiques et effectuent des vérifications de solvabilité.
  • Systèmes judiciaires et démocratiques destinés à influencer le résultat des élections.
  • Les systèmes d'identification biométrique, qui ne sont pas interdits, à l'exception des systèmes dont le seul but est de vérifier l'identité d'un individu.

Des exemptions de la catégorie à haut risque sont possibles si un ou plusieurs des critères énoncés dans la Loi sont respectés, notamment :

  • Une tâche procédurale étroite doit être effectuée à l'aide d'applications d'IA.
  • Une autorité judiciaire ou une autre autorité indépendante approuve l'utilisation de l'application d'IA, avec une portée géographique limitée, des bases de données consultées et un calendrier limités.

Les fournisseurs de systèmes d'IA à haut risque doivent faire l'objet d'une évaluation de conformité et satisfaire aux exigences ci-dessous :

  • Vérifier la conformité aux normes techniques en termes de sécurité, de précision, de transparence et de responsabilité.
  • Réalisation d'une évaluation de conformité interne ou d'une évaluation par un tiers
  • Veiller à ce que le système d'IA soit conforme aux règles de l'UE en matière de droits de l'homme, de protection des données et de sécurité.

Application et mise en œuvre

Le non-respect des pratiques interdites en matière d'IA peut entraîner des amendes de jusqu'à 35 millions d'euros, soit 7 % du chiffre d'affaires mondial annuel plomb, la valeur la plus élevée étant retenue. Pour les infractions relevant de la catégorie à haut risque, des amendes de jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel être imposé.

En outre, induire les autorités en erreur en partageant des informations fausses ou incomplètes peut avec 7 500 000 euros, soit 1 % du chiffre d'affaires annuel mondial être puni, selon le montant le plus élevé. Pour les PME et les start-up, la loi prévoit des amendes moins élevées, car l'innovation est le facteur clé, qui provient en grande partie de ce que l'on appelle l'écosystème des start-up.

« Conformément à l'article 99, paragraphe 6, de la loi de l'UE sur l'IA, toute amende visée dans cet article est plafonnée aux pourcentages ou montants indiqués aux paragraphes 3, 4 et 5, le montant le plus bas étant retenu. »

L'Office européen de la propriété intellectuelle, créé par la Commission européenne en février 2024, surveille l'application et la mise en œuvre de la loi dans les États membres. L'objectif est de créer un environnement sûr pour l'utilisation de l'IA, dans lequel les technologies d'IA respectent la dignité, les droits et la confiance des personnes.

Calendrier de mise en œuvre

  • La proposition a été présentée pour la première fois en avril 2021 et discutée à plusieurs reprises avant d'être adoptée à une écrasante majorité le 21 mai 2024 (523 voix pour, 46 contre et 49 absences) a été accepté.
  • Il est entré en vigueur le 1er août 2024 et sera pleinement applicable 2 ans plus tard.
  • À compter de la date d'entrée en vigueur, la loi prévoit un délai de six mois pour que les entreprises laissent expirer les « risques inacceptables ».
  • Après 12 mois, les réglementations GPAI pour les nouveaux modèles GPAI entrent en vigueur ; ceux qui sont déjà sur le marché 12 mois avant l'entrée en vigueur de la loi disposent de 36 mois à compter de la date d'entrée en vigueur pour se conformer à la réglementation.
  • Après 24 mois, la réglementation visant à réglementer les applications « à haut risque » entre en vigueur.
  • Après 36 mois, les règles s'appliquent aux systèmes d'IA, qui sont des produits ou des composants de sécurité de produits réglementés par des lois spécifiques de l'UE.

Conclusion

La nécessité d'une législation ciblée spécifique à l'IA a été satisfaite par l'adoption de la loi européenne sur l'IA, un règlement attendu depuis longtemps. Après son adoption, il suscite une attention différente dans le monde entier. Il est également considéré comme une référence pour le secteur de l'IA, à l'instar de l'introduction de GDPR en 2018 pour la protection des données.

Avec Kertos, vous pouvez commencer à répondre aux exigences de conformité pour les systèmes d'IA à haut risque. Nos experts évalueront votre système d'IA afin de vérifier le niveau de risque, de vous guider dans la mise en œuvre des mesures de protection nécessaires et de garantir la conformité avec la législation de l'UE en matière d'IA.

Le guide du fondateur à propos de NIS2 : Préparez votre entreprise maintenant

Protégez votre start-up : découvrez comment NIS2 peut avoir un impact sur votre activité et ce que vous devez prendre en compte dès maintenant. Lisez le livre blanc gratuit dès maintenant !

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Jetzt downloaden
Comprendre la législation de l'UE en matière d'IA : contexte, réglementation et mise en œuvre
Bereit, deine Compliance auf Autopilot zu setzen?
Angebot anfordern
Dr Kilian Schmidt

Dr Kilian Schmidt

PDG et cofondateur de Kertos GmbH

Le Dr Kilian Schmidt a développé très tôt un vif intérêt pour les processus juridiques. Après des études de droit, il a commencé sa carrière en tant que conseiller juridique principal et responsable de la protection des données au sein du groupe Home24. Après avoir travaillé chez Freshfields Bruckhaus Deringer, il a rejoint TIER Mobility, où, en tant que directeur juridique, il a participé de manière significative à l'expansion du département juridique et des politiques publiques. L'entreprise est passée d'une à 65 villes et de 50 à 800 employés. Motivé par les avancées technologiques limitées dans le secteur juridique et inspiré par son travail de consultant chez Gorillas Technologies, il a cofondé Kertos pour développer la prochaine génération de technologies européennes de protection des données.

À propos de Kertos

Kertos est l'épine dorsale moderne des activités de protection des données et de conformité des entreprises en pleine expansion. Nous permettons à nos clients de mettre en œuvre des processus intégrés de protection des données et de sécurité des informations conformément au RGPD, à la norme ISO 27001, à la TISAX®, à la SOC2 et à de nombreuses autres normes rapidement et à moindre coût grâce à l'automatisation.

Prêts pour un allègement concernant le DSGVO ?

Demandez un devisDécouvrez la plateforme
CTA Image

ARTICLE

Autres articles

Le point de vue des fondateurs : leçons sur la norme ISO 27001 !
Sécurité de l'information
All
Le point de vue des fondateurs : leçons sur la norme ISO 27001 !

L'un des plus grands défis à relever lors de la création d'une entreprise est de garantir la sécurité de vos propres actifs informationnels. Nous aimerions partager des informations précieuses tirées de notre expérience avec la norme ISO 27001, une norme mondialement reconnue pour l'ISMS.

Jetzt reinhören
Journée de la confidentialité et de la protection des données 2026 : sept idées pour la célébrer de manière significative
Protection des données
All
Journée de la confidentialité et de la protection des données 2026 : sept idées pour la célébrer de manière significative

Comment les entreprises répondent à la nouvelle orientation de l'EDPB 2026 en matière d'application de la législation grâce à une véritable transparence, à des avis de protection des données compréhensibles et à une communication claire basée sur l'IA, tout en renforçant la confiance.

Jetzt reinhören
Comment Kertos surpasse la concurrence en matière de conformité
Sécurité de l'information
All
Comment Kertos surpasse la concurrence en matière de conformité

Dans notre monde des affaires, la conformité n'est pas simplement un mal nécessaire, mais un avantage concurrentiel.

Jetzt reinhören

📅 Schedule Your 5min Compliance Check

Please enter your business email to continue. We require a company email address to ensure we can best serve your organization.

📞 5min Compliance Check