Le Règlement IA,
expliqué clairement.

Le Règlement IA (Règlement UE 2024/1689, appelé aussi AI Act) est la première législation exhaustive sur l'intelligence artificielle au monde. Il classe les systèmes d'IA en quatre niveaux de risque (inacceptable, haut risque, risque limité, risque minimal) et impose des obligations aux fournisseurs et aux déployeurs. Il est entré en vigueur le 1er août 2024 et s'applique directement dans tous les États membres de l'UE sans transposition nationale.

Les échéances sont échelonnées : 2 février 2025 pour l'interdiction de certaines pratiques (scoring social, biométrie temps réel dans l'espace public, reconnaissance émotionnelle au travail) et l'obligation de compétence IA (article 4) ; 2 août 2025 pour les obligations des modèles d'IA à usage général (GPAI) ; 2 août 2026 pour les obligations complètes des IA à haut risque (Annexe III) ; 2 août 2027 pour les IA intégrées à des produits réglementés (dispositifs médicaux, machines).

Une IA à haut risque est un système qui impacte significativement la santé, la sécurité ou les droits fondamentaux. L'Annexe III liste huit domaines : identification biométrique, infrastructures critiques, éducation, emploi (recrutement, évaluation de performance), accès aux services essentiels (crédit, assurance, prestations sociales), forces de l'ordre, migration, justice et processus démocratiques. Les IA à haut risque doivent respecter des obligations strictes : système de gestion des risques, gouvernance des données, documentation technique (Annexe IV), transparence, supervision humaine, robustesse et cybersécurité.

Le Règlement IA s'applique aux fournisseurs (développeurs), aux déployeurs (utilisateurs en contexte professionnel), aux importateurs et aux distributeurs de systèmes d'IA. La plupart des entreprises françaises sont des déployeurs : si vous utilisez ChatGPT, Claude, Copilot ou un outil SaaS contenant de l'IA, vous avez des obligations. Le règlement s'applique également aux entreprises hors UE dès que leurs systèmes sont mis sur le marché ou utilisés en Europe — portée extraterritoriale similaire au RGPD.

Les amendes sont plus élevées que celles du RGPD : jusqu'à 35 millions EUR ou 7 % du chiffre d'affaires mondial pour les pratiques interdites ; jusqu'à 15 millions EUR ou 3 % pour les violations des obligations haut risque ; jusqu'à 7,5 millions EUR ou 1,5 % pour fourniture d'informations trompeuses aux autorités. Les fournisseurs de GPAI peuvent être sanctionnés séparément (article 101).

L'article 4 impose aux fournisseurs et déployeurs de s'assurer que leur personnel dispose d'un niveau suffisant de compétence en IA. Cette obligation s'applique depuis le 2 février 2025, indépendamment de la classe de risque. Concrètement : toute personne qui utilise une IA dans le cadre professionnel (même un simple usage de ChatGPT) doit être formée. Les contenus attendus : comprendre ce qu'est l'IA, les limites et biais, le RGPD dans l'usage IA, la politique interne de l'entreprise.

Le RGPD protège les données personnelles — le quoi du traitement. Le Règlement IA régule les systèmes d'IA — le comment et le pourquoi, indépendamment du caractère personnel des données. En pratique, ils se recouvrent souvent : un système d'IA de recrutement relève à la fois de l'article 22 RGPD (décision automatisée) et de l'Annexe III du Règlement IA (emploi). Une plateforme multi-référentiels comme Matproof applique le mapping croisé automatique, permettant qu'une seule mesure satisfasse les deux règlements.