Le règlement européen sur l’intelligence artificielle (IA Act) est entré progressivement en application et impose une classification des systèmes d’IA selon leur niveau de risque. Cette approche graduée détermine les obligations qui pèsent sur les fournisseurs et les déployeurs. Voici un décryptage des trois grandes catégories prévues par le texte.
Les systèmes d’IA interdits (article 5)
Le règlement identifie en premier lieu des pratiques considérées comme inacceptables et donc totalement prohibées au sein de l’Union européenne. Cette interdiction est effective depuis le 2 février 2025.
Parmi les systèmes concernés, on retrouve notamment les systèmes de scoring social (notation des citoyens sur la base de leur comportement), les techniques subliminales visant à manipuler les individus à leur insu, ou encore l’exploitation de la vulnérabilité d’enfants par des systèmes d’IA.
La conséquence pour les déployeurs est sans ambiguïté : aucun usage n’est autorisé (article 5). Tout recours à ces systèmes expose à des sanctions.
Les systèmes d’IA à haut risque (article 6 et annexe III)
La deuxième catégorie concerne les systèmes d’IA qualifiés de haut risque. Leur utilisation reste autorisée, mais elle est soumise à des exigences strictes encadrées par le règlement.
Les exemples les plus courants incluent les outils RH de tri de CV, les systèmes d’octroi de crédit ou encore la reconnaissance biométrique pour l’accès à des locaux.
Les obligations qui s’imposent aux déployeurs sont significatives :
- Formation et littératie IA (article 4) : les équipes utilisant ces systèmes doivent être formées et comprendre les enjeux liés à l’IA.
- Supervision humaine (article 14) : un contrôle humain doit être maintenu sur les décisions prises par le système.
- Tenue de logs (article 26(6)) : les journaux d’activité du système doivent être conservés pour assurer la traçabilité.
- Information des personnes concernées (article 50) : les individus affectés par les décisions du système doivent en être informés.
Les modèles d’IA à usage général / GPAI (articles 53 à 55)
La troisième catégorie vise les modèles d’IA à usage général (GPAI, pour General Purpose AI). Il s’agit des grands modèles de langage comme ChatGPT, Gemini ou Claude.
Ces modèles ne sont pas considérés comme à haut risque en soi, mais ils peuvent servir de base à d’autres systèmes qui, eux, pourraient entrer dans la catégorie haut risque. Le cadre réglementaire prévoit donc des obligations spécifiques :
- Utilisation dans le respect de la finalité (article 25(1)) : le déployeur doit s’assurer que l’usage du modèle correspond bien à sa destination prévue.
- Formation des équipes (article 4) : comme pour les systèmes à haut risque, la montée en compétences des utilisateurs est requise.
- Transparence si applicable (article 50) : lorsque le modèle interagit avec des personnes, celles-ci doivent être informées qu’elles échangent avec une IA.
Ce qu’il faut retenir
L’IA Act instaure une logique de proportionnalité : plus le risque est élevé, plus les contraintes sont fortes. Pour les organisations qui déploient des systèmes d’IA, l’enjeu est d’abord de qualifier correctement le niveau de risque de chaque outil utilisé, puis de mettre en place les mesures de conformité adaptées.
Les DPO et responsables conformité ont un rôle central à jouer dans cette démarche, d’autant que de nombreuses obligations de l’IA Act font écho aux principes du RGPD : transparence, information des personnes, documentation et supervision humaine.
