Obligations AI Act par article

L'AI Act (Règlement (UE) 2024/1689) impose des obligations différenciées selon le niveau de risque du système d'IA. Les pratiques à risque inacceptable sont purement interdites (article 5). Les systèmes à haut risque doivent respecter des exigences strictes : documentation technique, gestion des risques, gouvernance des données, contrôle humain et cybersécurité. Les systèmes à risque limité sont soumis à des obligations de transparence (article 50). Enfin, tous les acteurs doivent assurer la maîtrise de l'IA de leur personnel (article 4).

L'AI Act s'applique à quatre catégories d'acteurs : les fournisseurs (qui développent ou mettent sur le marché un système d'IA), les déployeurs (qui utilisent un système d'IA sous leur propre autorité), les importateurs (qui introduisent dans l'UE un système d'un fournisseur hors UE) et les distributeurs (qui rendent un système disponible sur le marché européen). Les obligations varient selon le rôle de l'acteur et le niveau de risque du système concerné.

Le fournisseur est celui qui développe un système d'IA ou le fait développer, et le met sur le marché ou en service sous son propre nom ou sa marque. Le déployeur est toute personne qui utilise un système d'IA sous sa propre autorité, dans un cadre professionnel. Un même organisme peut cumuler les deux rôles selon les systèmes. Les fournisseurs ont des obligations plus lourdes, notamment la documentation technique et l'évaluation de conformité préalable à la mise sur le marché.

Les systèmes d'IA à haut risque doivent respecter un ensemble complet d'exigences réglementaires : système de gestion des risques (art. 9), gouvernance des données d'entraînement (art. 10), documentation technique détaillée (art. 11), enregistrement automatique des événements (art. 12), transparence et information des utilisateurs (art. 13), mesures de contrôle humain (art. 14), et garanties d'exactitude, de robustesse et de cybersécurité (art. 15). Le fournisseur doit également mettre en place un système de gestion de la qualité.

L'AI Act est entré en vigueur le 1er août 2024 avec une application progressive. Les pratiques interdites et l'obligation de maîtrise de l'IA s'appliquent depuis le 2 février 2025. Les règles pour les modèles GPAI s'appliquent depuis le 2 août 2025. Les obligations de transparence (art. 50) et les systèmes à haut risque de l'Annexe III s'appliqueront le 2 août 2026. Les systèmes relevant de l'Annexe I (produits réglementés) suivront le 2 août 2027.

Les sanctions sont proportionnées à la gravité de l'infraction : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites, jusqu'à 15 millions d'euros ou 3 % pour le non-respect des autres obligations réglementaires, et jusqu'à 7,5 millions d'euros ou 1 % pour la fourniture d'informations inexactes aux autorités. Pour les PME et startups, les montants sont ajustés au plus bas des deux seuils.

Oui, les fournisseurs de modèles GPAI (comme les grands modèles de langage) ont des obligations spécifiques depuis le 2 août 2025 : établir une documentation technique, respecter le droit d'auteur de l'UE, et publier un résumé des données d'entraînement. Les modèles GPAI présentant un risque systémique ont des obligations supplémentaires : évaluation approfondie du modèle, atténuation des risques systémiques, signalement des incidents graves et niveau adéquat de cybersécurité.

Un système d'IA est classé à haut risque dans deux cas : s'il est un composant de sécurité d'un produit couvert par la législation européenne d'harmonisation (Annexe I : dispositifs médicaux, machines, jouets, etc.), ou s'il relève des domaines sensibles de l'Annexe III (biométrie, infrastructures critiques, éducation, emploi, services essentiels, forces de l'ordre, migration, justice). Notre diagnostic gratuit vous permet d'identifier en quelques minutes le niveau de risque applicable à votre système.