IA Act : quelles obligations pour les entreprises européennes ?

L'IA Act, texte législatif européen pionnier en matière d'IA, ne se contente pas de protéger les citoyens en leur octroyant des droits. Il établit des règles pour les entreprises des 27 États membres de l'Union européenne lorsqu'elles utilisent ou créent des IA. Transparence, supervision humaine, documentation technique, gestion des risques — ces exigences varient selon la place occupée dans la chaîne de valeur et le niveau de risque du système concerné. S’y conformer n’est plus une option : les premières sanctions sont déjà applicables et d’autres entreront en vigueur progressivement jusqu’en 2027.

Les fournisseurs vs les déployeurs

L'IA Act distingue différents rôles au sein de la chaîne de valeur de l'IA dans le marché unique européen. Nous allons ici nous intéresser à deux catégories d'acteurs de marché clé : les fournisseurs (ou providers) et les déployeurs (ou deployers).

Aux termes de l’article 3, point 25 du règlement, un fournisseur est “toute personne physique ou morale qui développe, conçoit, programme, personnalise, intègre, met sur le marché ou met en service un système d’IA, ou qui en modifie de manière significative la conception ou la fonction.”

Selon l’article 3, point 23 du règlement, un déployeur est “toute personne physique ou morale, autre que le fournisseur, qui met en service ou utilise un système d’IA dans le cadre de ses activités professionnelles ou commerciales.”

Ainsi l'IA Act distingue deux rôles : celui de fournisseur qui crée l'IA et celui du déployeur qui utilise l'IA. Par exemple, une startup française développe un algorithme de scoring de crédit destiné aux banques européennes. Elle est fournisseur, car elle conçoit, entraîne et met sur le marché le système d’IA, avec toutes les obligations de documentation, d’évaluation des risques et de supervision humaine. Si une PME allemande utilise ce même algorithme pour évaluer les demandes de prêt de ses clients : elle est déployeur, car elle intègre le système dans ses processus internes et doit vérifier le niveau de risque, assurer la supervision humaine et informer les personnes concernées conformément aux dispositions de l'IA Act.

Quelles obligations pour quel rôle ?

Chaque niveau de risque identifié par l'IA Act conduit à l'applicationde règles plus ou moins strictes. Les obligations de l’AI Act varient selon le niveau de risque des systèmes d’IA (AI Act, article 2).

Pour les systèmes à haut risque, les obligations sont multiples et cumulatives : réalisation d’une évaluation de conformité avant mise sur le marché, mise en place d’un système de gestion des risques documenté et actualisé, garantie d’une supervision humaine effective, traçabilité et qualité des données d’entraînement, documentation technique complète, enregistrement du système dans la base européenne des IA à haut risque, et information des personnes concernées (AI Act, articles 6‑15).

Les fournisseurs de modèles d’IA à usage général (LLM, GPAI) doivent publier un résumé des données d’entraînement, respecter les droits d’auteur et, pour les modèles puissants, se soumettre à une évaluation des risques systémiques (AI Act, articles 3 et 10).

Pour les systèmes à risque limité, l’obligation principale est l’information des utilisateurs : ils doivent savoir qu’ils interagissent avec une machine (AI Act, article 50).

Enfin, les systèmes à risque minimal restent soumis au droit commun, comme le RGPD ou la responsabilité civile, mais ne font l’objet d’aucune obligation spécifique supplémentaire.

Cette hiérarchisation permet de prioriser leurs efforts de conformité : les obligations sont strictes là où le risque pour les droits fondamentaux est le plus élevé et proportionnées pour les systèmes moins sensibles.

L'articulation entre l'IA Act et le droit du numérique européen

L’AI Act ne constitue pas un texte isolé mais un texte qui s’inscrit dans un maillage juridique européen bien plus large. Le texte de l'IA Act se structure notamment autour de la protection des données, de la cybersécurité et de la résilience des systèmes numériques. Pour les entreprises, l’enjeu n’est donc pas seulement de se conformer à un règlement supplémentaire, mais de coordonner plusieurs régimes juridiques complémentaires dans une logique de gouvernance globale.

• En premier lieu, l’articulation avec le RGPD est centrale. Là où le RGPD encadre le traitement des données personnelles, l’AI Act encadre les systèmes qui utilisent ces données pour produire des décisions ou des recommandations.

• En deuxième lieu, l’AI Act s’articule étroitement avec les exigences européennes en matière de cybersécurité, notamment celles issues de la directive NIS 2 et du futur cadre de certification. Les systèmes d’IA, en particulier ceux classés à haut risque, doivent être conçus de manière à garantir leur robustesse, leur résilience et leur sécurité face aux attaques (article 15 AI Act).

• En troisième lieu, le règlement s’inscrit dans une logique plus large de sécurité des produits numériques, en lien avec des textes comme le Cyber Resilience Act ou la réglementation relative à la sécurité des produits.