I
Impetora

Fournisseurs IA conformes au Règlement européen sur l'IA : comment vérifier ?

By Impetora -

Un fournisseur d'intelligence artificielle est conforme au Règlement (UE) 2024/1689 lorsqu'il sait classer son système selon les niveaux de risque, produire la documentation technique requise par l'annexe IV, mettre en place une surveillance post-déploiement et démontrer la supervision humaine [1]. La conformité ne se prouve pas par un logo : elle se prouve par cinq documents que tout acheteur sérieux doit demander.

Août 2026
obligations principales annexe III applicables
AI Office
35 M EUR / 7 %
amende maximale pour pratiques interdites
EUR-Lex
5 documents
à exiger d'un fournisseur conforme
CNIL

Que dit concrètement le Règlement européen sur l'IA ?

Le règlement (UE) 2024/1689, publié le 1er août 2024, classe les systèmes d'IA en quatre niveaux : risque inacceptable (interdit), haut risque (annexe III), risque limité (transparence requise) et risque minimal [1].

Les pratiques interdites s'appliquent depuis février 2025. Les obligations sur l'IA à usage général s'appliquent depuis août 2025. La majeure partie des obligations pour les systèmes à haut risque s'applique à partir d'août 2026, avec un dernier palier en août 2027 pour les composants de sécurité de produits régulés [2].

Quels cinq documents un fournisseur conforme produit-il à la demande ?

  • Une classification de risque écrite : pourquoi le système relève d'une catégorie donnée selon les annexes I à III [1].
  • Un dossier technique conforme à l'annexe IV : description du système, données d'entraînement, performances, processus d'évaluation.
  • Un plan de surveillance post-déploiement avec indicateurs et procédure de signalement d'incidents.
  • Une description de la supervision humaine effective, étape par étape, pour les systèmes à haut risque.
  • Pour l'IA à usage général à risque systémique, un rapport d'évaluation des risques systémiques et une description des mesures de cybersécurité [3].

Comment éviter les pièges marketing ?

Trois signaux d'alerte doivent retenir l'attention. D'abord, un fournisseur qui parle de conformité sans préciser à quelle annexe il se rapporte : la conformité est toujours rattachée à un cas d'usage précis. Ensuite, un fournisseur qui invoque la certification ISO 42001 comme preuve unique : ISO 42001 est une norme de gouvernance utile, mais elle ne remplace pas l'évaluation de conformité au sens du règlement [4].

Enfin, un fournisseur qui héberge ses modèles hors UE sans clauses de transfert valides : le règlement n'impose pas une résidence UE, mais le RGPD, lui, l'exige [5].

Quel est le rôle de l'AESIA et de la CNIL en France ?

L'Agence pour l'évaluation et la sécurité de l'IA (AESIA) est l'autorité française désignée pour superviser le Règlement européen sur l'IA. La Commission nationale de l'informatique et des libertés (CNIL) reste compétente pour le RGPD et publie des fiches pratiques sur l'intersection entre les deux textes [6].

Pour les systèmes à haut risque, ces deux autorités peuvent échanger.

Quel est le calendrier d'application ?

  • Février 2025 : pratiques interdites [1].
  • Août 2025 : obligations sur l'IA à usage général (modèles fondation).
  • Août 2026 : obligations principales pour les systèmes à haut risque (annexe III).
  • Août 2027 : composants de sécurité de produits régulés (annexe I).

Questions fréquentes

Notre système relève-t-il du haut risque ?
Cela dépend du cas d'usage. Les systèmes utilisés pour le scoring de crédit, l'évaluation pour l'emploi, la priorisation aux services essentiels ou les décisions juridictionnelles sont à haut risque. Une analyse documentée doit être produite pour chaque système.
Faut-il un marquage CE ?
Pour les systèmes à haut risque relevant de l'annexe I, oui. Pour les autres systèmes à haut risque (annexe III), une évaluation de conformité interne est requise mais pas un marquage CE physique.
Que se passe-t-il en cas de non-conformité ?
Les amendes peuvent atteindre 35 millions d'euros ou 7 pour cent du chiffre d'affaires mondial pour les pratiques interdites, et 15 millions ou 3 pour cent pour les manquements aux obligations applicables aux systèmes à haut risque.
Le code de conduite GPAI suffit-il ?
Le code de bonnes pratiques publié par l'AI Office en 2025 facilite la démonstration de conformité pour les modèles à usage général mais ne dispense pas des obligations propres aux systèmes à haut risque construits par-dessus.
Comment intégrer le RGPD ?
Toutes les obligations RGPD demeurent. Une AIPD doit accompagner tout système à haut risque traitant des données personnelles, en cohérence avec la FRIA prévue à l'article 27 du Règlement IA.
Impetora

Prêt à cadrer votre projet ? Soumettez un brief court - nous répondons sous un jour ouvré.

Sources citées

Sources citées (6) - afficher
  1. Règlement (UE) 2024/1689 (Règlement sur l'IA). Union européenne, Journal officiel, 2024-07-12. https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32024R1689
  2. Cadre réglementaire de l'IA - vue d'ensemble. Commission européenne (AI Office), 2024. https://digital-strategy.ec.europa.eu/fr/policies/regulatory-framework-ai
  3. Code of Practice for General-Purpose AI. AI Office, Commission européenne, 2025. https://digital-strategy.ec.europa.eu/en/policies/general-purpose-ai-code-practice
  4. ISO/IEC 42001:2023 - Systèmes de management de l'IA. ISO, 2023-12. https://www.iso.org/standard/81230.html
  5. Règlement (UE) 2016/679 (RGPD). Union européenne, EUR-Lex, 2016-04-27. https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
  6. IA : la position de la CNIL. CNIL, 2024. https://www.cnil.fr/fr/ai-act
À propos d'Impetora
Impetora conçoit, développe et déploie des systèmes d'intelligence artificielle sur mesure pour les entreprises de secteurs réglementés. Basés à Vilnius, nous travaillons en cinq langues.
Appel de découverte

Réserver un appel de découverte

Dites-nous ce que vous souhaitez construire. Nous répondons sous un jour ouvré.

Appel de 30 minutes. Sans frais. Sans engagement.