I
Impetora

Liste de mise en oeuvre du Règlement IA de l'UE pour fournisseurs et déployeurs

By Impetora -

Le Règlement (UE) 2024/1689, dit Règlement IA, s'applique aux fournisseurs, déployeurs, importateurs et distributeurs de systèmes d'IA mis sur le marché de l'UE ou dont la sortie est utilisée dans l'Union, quel que soit le lieu d'établissement de l'opérateur [1]. La conformité est échelonnée : entré en vigueur le 1er août 2024, les pratiques interdites s'appliquent depuis le 2 février 2025, les obligations relatives aux modèles d'IA à usage général depuis le 2 août 2025, et l'essentiel des obligations haut risque à partir du 2 août 2026 [1]. Cette liste recense les douze étapes concrètes que tout opérateur devrait avoir achevées avant l'échéance d'août 2026.

Août 2026
la plupart des obligations haut risque s'appliquent
EUR-Lex
35 M EUR / 7 %
amende maximale pour pratiques interdites (art. 99)
EUR-Lex
Annexe III
huit catégories d'usage haut risque
EUR-Lex

Étape 1. Déterminez votre rôle au titre du Règlement

L'article 3 définit quatre rôles d'opérateur, et une même organisation peut en cumuler plusieurs. Un fournisseur développe un système d'IA ou le fait développer et le met sur le marché ou le met en service sous son propre nom. Un déployeur utilise un système d'IA sous son autorité dans un cadre professionnel. Un importateur met sur le marché de l'UE un système portant le nom d'un fournisseur extérieur à l'UE. Un distributeur rend disponible un système sans en modifier les propriétés [1].

Élément clé : un déployeur qui modifie substantiellement un système haut risque, le rebadge ou en change la finalité prévue devient fournisseur du système modifié au sens de l'article 25. Cartographiez chaque système d'IA de votre portefeuille selon ces quatre rôles avant toute autre démarche, car la suite de la liste en dépend.

Étape 2. Classifiez chaque système d'IA

Le Règlement répartit les systèmes en quatre niveaux de risque. Les pratiques interdites par l'article 5 incluent la manipulation subliminale, l'exploitation des groupes vulnérables, la notation sociale par les autorités, la collecte non ciblée d'images faciales, la catégorisation biométrique selon des attributs sensibles, l'identification biométrique à distance en temps réel dans les espaces publics (avec des exceptions strictement encadrées pour les autorités répressives) et la reconnaissance des émotions au travail et en milieu éducatif [1]. Les systèmes haut risque sont définis à l'article 6 et à l'annexe III, qui couvre huit catégories : biométrie, infrastructures critiques, éducation et formation professionnelle, emploi et gestion des travailleurs, accès aux services publics et privés essentiels (y compris la notation de crédit), application de la loi, migration et contrôle aux frontières, administration de la justice et processus démocratiques. Les systèmes à risque limité déclenchent les obligations de transparence de l'article 50 (chatbots, deepfakes, contenus générés par IA). Les systèmes à risque minimal ne portent aucune obligation spécifique au-delà des codes de conduite volontaires.

Documentez la décision de classification par système, motifs à l'appui. Le Bureau européen de l'IA publie des lignes directrices, et c'est la référence à utiliser, et non les supports marketing des fournisseurs [2].

Étape 3. Mettez en place un système de gestion des risques (article 9)

Pour chaque système haut risque, l'article 9 impose un système de gestion des risques écrit, continu et itératif couvrant l'ensemble du cycle de vie. Il doit identifier et analyser les risques prévisibles pour la santé, la sécurité et les droits fondamentaux, estimer et évaluer les risques susceptibles d'apparaître dans l'usage prévu et le mésusage raisonnablement prévisible, évaluer d'autres risques sur la base des données de surveillance après mise sur le marché, et adopter des mesures de gestion des risques adéquates.

Le document SGR n'est pas un livrable ponctuel. Il est revu et mis à jour systématiquement, et les tests doivent vérifier que les mesures retenues fonctionnent dans le contexte d'exploitation pertinent. Considérez-le comme un artefact vivant porté par une personne nommément responsable.

Étape 4. Gouvernance des données (article 10)

Les données d'entraînement, de validation et de test doivent être pertinentes, suffisamment représentatives, exemptes d'erreurs et complètes au regard de la finalité prévue. L'article 10 impose des pratiques documentées de gouvernance des données : choix de conception, processus de collecte, opérations de préparation (annotation, étiquetage, nettoyage, enrichissement, agrégation), formulation des hypothèses, évaluation préalable de la disponibilité, examen des biais susceptibles d'affecter la santé, la sécurité ou les droits fondamentaux, identification des lacunes pertinentes avec mesures d'atténuation.

Lorsque c'est strictement nécessaire, le traitement de catégories particulières de données à caractère personnel est autorisé par l'article 10, paragraphe 5, pour détecter et corriger les biais, sous des garanties appropriées. Documentez chaque choix : l'évaluation de la conformité ne passera pas sans cela.

Étape 5. Documentation technique (article 11 et annexe IV)

La documentation technique doit être établie avant la mise sur le marché et tenue à jour. L'annexe IV en fixe le contenu minimal : description générale du système, conception détaillée et architecture, surveillance et contrôle, données et procédures de validation et de test, résultats d'évaluation y compris métriques et limites connues, mesures de cybersécurité, procédures de gestion des modifications, déclaration UE de conformité.

Les PME et jeunes pousses peuvent recourir à un formulaire annexe IV simplifié publié par le Bureau de l'IA, mais les obligations de fond sont inchangées. Conservez la documentation sous une forme que l'autorité nationale compétente peut consulter sur demande.

Étape 6. Journalisation automatique (article 12)

Les systèmes haut risque doivent enregistrer automatiquement les événements (logs) tout au long de leur durée de vie, à un degré approprié à la finalité prévue. Les journaux doivent permettre d'identifier les situations susceptibles de présenter un risque au sens de l'article 79, faciliter la surveillance après mise sur le marché et permettre la surveillance par le déployeur au titre de l'article 26. L'article 12, paragraphe 3, impose des journaux minimaux spécifiques pour les systèmes d'identification biométrique à distance (durée d'utilisation, base de données de référence, données d'entrée, personnel identifiant).

Définissez une durée de conservation proportionnée à la finalité, au minimum six mois, sauf disposition contraire d'un autre droit de l'Union ou national.

Étape 7. Transparence vis-à-vis des déployeurs (article 13)

Les systèmes haut risque doivent être conçus pour que les déployeurs interprètent les sorties et les utilisent correctement. Ils sont accompagnés d'une notice d'utilisation concise, complète, exacte et claire qui indique : l'identité du fournisseur, les caractéristiques et la finalité du système, le niveau d'exactitude et de robustesse, les circonstances prévisibles susceptibles d'entraîner des risques, les capacités techniques utiles à l'explication des sorties, la performance vis-à-vis de personnes ou de groupes spécifiques, les spécifications des données d'entrée, les mesures de surveillance humaine, la durée de vie attendue et la maintenance nécessaire.

Pour les systèmes à risque limité, l'article 50 impose des obligations supplémentaires de transparence : les utilisateurs sont informés qu'ils interagissent avec un système d'IA, les contenus synthétiques générés par IA sont identifiables comme tels par voie automatique, les hypertrucages doivent être divulgués.

Étape 8. Supervision humaine (article 14)

Les systèmes haut risque doivent être conçus de manière à pouvoir être effectivement supervisés par des personnes physiques durant leur utilisation. Les mesures de supervision doivent permettre à la personne désignée : de comprendre les capacités et limites pertinentes du système, de demeurer consciente du biais d'automatisation, d'interpréter correctement les sorties, de décider de ne pas utiliser le système ou de méconnaître, écraser ou inverser une sortie, et d'intervenir pour interrompre le fonctionnement par un bouton d'arrêt ou une procédure équivalente.

Pour l'identification biométrique à distance au titre de l'annexe III, point 1 a), aucune mesure ou décision ne peut être prise sur la seule base de l'identification sans vérification et confirmation par au moins deux personnes physiques disposant des compétences, de la formation et de l'autorité nécessaires.

Étape 9. Exactitude, robustesse, cybersécurité (article 15)

L'article 15 impose aux systèmes haut risque d'atteindre, au regard de leur finalité, un niveau approprié d'exactitude, de robustesse et de cybersécurité, et de fonctionner de manière cohérente sur l'ensemble du cycle de vie. Les niveaux d'exactitude et les métriques pertinentes sont déclarés dans la notice d'utilisation.

La robustesse doit traiter les boucles de rétroaction, les erreurs et les incohérences. La cybersécurité doit résister aux tentatives d'altérer l'usage, le comportement ou la performance, y compris l'empoisonnement de données, l'empoisonnement de modèles, les exemples adversariaux, le contournement et les attaques contre la confidentialité. Le Bureau de l'IA développe des spécifications techniques avec l'ENISA [3].

Étape 10. Évaluation de la conformité, marquage CE, base de données UE

Avant la mise sur le marché d'un système haut risque, le fournisseur procède à l'évaluation de la conformité. La plupart des systèmes de l'annexe III peuvent recourir au contrôle interne au titre de l'annexe VI. Les systèmes biométriques de l'annexe III, point 1, doivent recourir à la procédure avec organisme notifié au titre de l'annexe VII, sauf application de normes harmonisées. Une évaluation réussie aboutit à : la déclaration UE de conformité (article 47), l'apposition du marquage CE (article 48) et l'enregistrement dans la base de données UE (article 49) avant mise en service. Les déployeurs publics enregistrent en outre leur usage au titre de l'article 49, paragraphe 1 bis.

Les obligations du fournisseur figurent aux articles 16 à 26 et couvrent le système qualité, la conservation des documents, la conservation des journaux automatiques, les mesures correctives, la coopération avec les autorités et l'accessibilité.

Étape 11. Surveillance après mise sur le marché et signalement des incidents graves (articles 72-73)

Les fournisseurs établissent un système de surveillance après mise sur le marché documenté, proportionné à la nature des technologies d'IA et aux risques du système haut risque. Le plan fait partie de la documentation technique. Les données sont collectées, documentées et analysées activement et systématiquement tout au long de la durée de vie, et le fournisseur évalue la conformité continue aux exigences du Règlement.

L'article 73 impose le signalement des incidents graves à l'autorité de surveillance du marché de l'État membre où l'incident s'est produit, immédiatement après que le fournisseur a établi un lien causal ou sa probabilité raisonnable, et au plus tard dans les 15 jours après en avoir eu connaissance. Le décès ou un préjudice grave déclenche un délai de 10 jours. Une infraction généralisée ou la perturbation d'infrastructures critiques déclenche un délai de 2 jours.

Étape 12. Déployeurs publics - Analyse d'impact sur les droits fondamentaux (article 27)

Avant le déploiement d'un système haut risque visé à l'annexe III (avec des exceptions limitées), les organismes de droit public et les opérateurs privés fournissant des services publics, ainsi que les déployeurs de systèmes de notation de crédit ou d'évaluation des risques en assurance vie et santé, doivent réaliser une analyse d'impact sur les droits fondamentaux (AIDF). L'AIDF doit décrire : le processus de déploiement, la durée et la fréquence d'utilisation, les catégories de personnes physiques susceptibles d'être affectées, les préjudices spécifiques raisonnablement attendus, les mesures de supervision humaine et les mesures à prendre si les risques se matérialisent.

Le résultat est notifié à l'autorité de surveillance du marché via un modèle publié par le Bureau de l'IA. Une nouvelle AIDF est nécessaire en cas de modification substantielle d'un élément.

Calendrier d'application

  • 1er août 2024 - Entrée en vigueur du Règlement.
  • 2 février 2025 - Application des pratiques interdites (article 5) et de l'obligation de littératie en IA (article 4) pour fournisseurs et déployeurs.
  • 2 août 2025 - Application des obligations relatives aux modèles d'IA à usage général (articles 51-55), de la structure de gouvernance, des sanctions, du cadre des autorités notifiantes et des organismes notifiés.
  • 2 août 2026 - L'essentiel des obligations s'applique, y compris les systèmes haut risque au titre de l'article 6, paragraphe 2 et de l'annexe III, les obligations du déployeur (article 26), l'AIDF (article 27), l'enregistrement dans la base de données UE (article 49).
  • 2 août 2027 - Application aux systèmes haut risque qui sont des composants de sécurité de produits couverts par la législation sectorielle de l'annexe I.

Sanctions (article 99)

Les sanctions sont graduées. Les violations des interdictions de l'article 5 sont passibles d'amendes pouvant atteindre 35 M EUR ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les violations de la plupart des autres obligations (articles 16-26 pour fournisseurs, article 26 pour déployeurs, articles 31, 33, 34 pour organismes notifiés) sont passibles d'amendes pouvant atteindre 15 M EUR ou 3 % du chiffre d'affaires. La fourniture d'informations inexactes, incomplètes ou trompeuses aux autorités est passible d'amendes jusqu'à 7,5 M EUR ou 1 %. Pour les PME et jeunes pousses, le plafond retenu est le moins élevé des deux.

Les fournisseurs de modèles d'IA à usage général relèvent d'un régime distinct au titre de l'article 101, plafonné à 15 M EUR ou 3 % du chiffre d'affaires.

Questions fréquentes

Le Règlement IA s'applique-t-il à un fournisseur hors UE qui vend en Europe ?
Oui. L'article 2, paragraphe 1, point c, étend le Règlement aux fournisseurs et déployeurs établis hors UE lorsque la sortie produite par le système est utilisée dans l'Union. Un fournisseur américain ou britannique qui vend un système d'IA haut risque à un client UE doit désigner un mandataire au titre de l'article 22 avant toute mise sur le marché et satisfaire l'ensemble des obligations du fournisseur prévues aux articles 16 à 26. Une délégation contractuelle au client UE ne fonctionne pas ; le Règlement traite le rôle de fournisseur comme une question de fait, non de contrat.
Comment s'articulent les obligations IA à usage général et les obligations haut risque de l'annexe III ?
Ce sont deux régimes distincts. Les obligations IA à usage général (articles 51-55) s'appliquent au fournisseur du modèle, indépendamment de l'usage en aval, avec des règles plus strictes pour les modèles présentant un risque systémique au-delà du seuil d'entraînement de 10^25 FLOPs. Si un tel modèle est intégré dans un système en aval qui répond aux critères haut risque de l'annexe III, le fournisseur en aval supporte en plus toutes les obligations de l'article 6 et hérite de la documentation par l'obligation d'information de l'article 53, paragraphe 1, point b. Les acheteurs doivent exiger les preuves des deux niveaux dans l'achat.
Les bacs à sable réglementaires IA sont-ils utiles à la conformité ?
Pour de nombreux fournisseurs, oui. L'article 57 impose aux États membres d'établir au moins un bac à sable réglementaire IA national d'ici le 2 août 2026 (la Commission peut aussi organiser des bacs à sable conjoints). Les bacs à sable apportent une sécurité juridique pour tester des systèmes innovants sous supervision du régulateur, et les preuves de participation soutiennent l'évaluation de la conformité ultérieure. L'article 59 fournit une base juridique spécifique pour traiter dans le bac à sable, sous garanties strictes, des données à caractère personnel collectées légalement à d'autres fins, dans le développement d'IA d'intérêt public.
Quand l'échéance d'août 2026 mord-elle réellement pour un acheteur entreprise ?
Concrètement, dès le quatrième trimestre 2025. Les cycles d'achat pour des systèmes destinés à être en production à l'été 2026 démarrent 9 à 12 mois plus tôt, et tout fournisseur incapable, à cette date, de produire un plan d'évaluation de la conformité, un canevas de documentation annexe IV et une approche de surveillance après mise sur le marché représente un risque achat. Honnêtement, les organisations qui démarrent en 2026 sont déjà en retard. Le premier livrable raisonnable est l'inventaire du portefeuille IA et la classification de l'étape 2 par système ; cette seule activité prend habituellement 3 à 4 semaines.
Une certification ISO/IEC 42001 remplace-t-elle la conformité au Règlement IA ?
Non, mais elle constitue une base solide. ISO/IEC 42001:2023 est une norme de système de management de l'IA et n'est pas encore une norme harmonisée au sens du Règlement. La certification atteste d'une maturité de gouvernance qui se projette proprement sur les obligations qualité de l'article 17 et réduit la distance à une évaluation de conformité propre. Lorsque les organisations européennes de normalisation harmonisée (CEN-CENELEC JTC 21) publieront les normes harmonisées au Règlement IA, leur application emportera présomption de conformité au titre de l'article 40.
Qui est l'autorité nationale compétente au titre du Règlement IA ?
Chaque État membre désigne au moins une autorité notifiante et au moins une autorité de surveillance du marché d'ici le 2 août 2025 (article 70). Les listes sont publiées sur la page du Bureau de l'IA ; plusieurs États membres ont désigné leur autorité de protection des données, leur régulateur des télécommunications ou une nouvelle agence dédiée. Pour un déploiement multi-pays, identifiez l'autorité dans chaque État membre concerné, car le signalement des incidents et les obligations de registre sont nationaux. En France, la CNIL et l'Arcep figurent parmi les autorités impliquées.
Qu'est-ce que l'obligation de littératie en IA de l'article 4 ?
Les fournisseurs et déployeurs doivent prendre des mesures pour assurer, dans la mesure de leurs capacités, un niveau suffisant de littératie en IA chez leurs personnels et chez les autres personnes qui exploitent et utilisent les systèmes en leur nom, en tenant compte des connaissances techniques, de l'expérience, de la formation et du contexte d'utilisation. Cette obligation s'applique depuis le 2 février 2025 et n'est pas limitée aux systèmes haut risque. Documentez le programme, le contenu et la diffusion de la formation : les autorités peuvent demander.
Où enregistrer un système haut risque dans la base de données UE ?
La base de données UE des systèmes d'IA haut risque, prévue à l'article 71, est exploitée par la Commission et accessible via le portail du Bureau de l'IA. Le fournisseur enregistre le système avant la mise sur le marché (article 49, paragraphe 1). Les déployeurs publics enregistrent séparément leur usage au titre de l'article 49, paragraphe 1 bis, avant la mise en service. La plupart des champs sont publics, certains champs relatifs à la sûreté, à la sécurité et à la répression sont restreints.
Impetora

Prêt à cadrer votre projet ? Soumettez un brief court - nous répondons sous un jour ouvré.

Sources citées

Sources citées (7) - afficher
  1. Règlement (UE) 2024/1689 (Règlement IA) - texte consolidé. EUR-Lex, Journal officiel de l'Union européenne, 2024-07-12. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
  2. Bureau européen de l'IA - lignes directrices et actes d'exécution. Commission européenne, 2025-01. https://digital-strategy.ec.europa.eu/en/policies/ai-office
  3. Multilayer framework for good cybersecurity practices for AI. ENISA, 2023-06. https://www.enisa.europa.eu/publications/multilayer-framework-for-good-cybersecurity-practices-for-ai
  4. ISO/IEC 42001:2023 - Systèmes de management de l'IA. Organisation internationale de normalisation, 2023-12. https://www.iso.org/standard/81230.html
  5. Liste des autorités notifiantes et organismes notifiés nationaux. Commission européenne, base NANDO, 2025-08. https://single-market-economy.ec.europa.eu/single-market/european-standards/notified-bodies_en
  6. Modèle d'AIDF (article 27). Bureau européen de l'IA, 2026-02. https://digital-strategy.ec.europa.eu/en/policies/ai-office
  7. Règlement (UE) 2016/679 (RGPD). EUR-Lex, Journal officiel de l'Union européenne, 2016-04-27. https://eur-lex.europa.eu/eli/reg/2016/679/oj
À propos d'Impetora
Impetora conçoit, développe et déploie des systèmes d'intelligence artificielle sur mesure pour les entreprises de secteurs réglementés. Basés à Vilnius, nous travaillons en cinq langues.
Appel de découverte

Réserver un appel de découverte

Dites-nous ce que vous souhaitez construire. Nous répondons sous un jour ouvré.

Appel de 30 minutes. Sans frais. Sans engagement.