Frameworks

La loi européenne sur l'IA : ce qu'elle implique et comment la mettre en œuvre

Guide de conformité à la loi européenne sur l'intelligence artificielle (loi sur l'IA) : définir les rôles, gérer les risques et la gouvernance, classer les IA à haut risque, respecter les obligations en matière de transparence et de marquage CE.

Tuomas Pitkänen
9 avril 2026
@

Contenu de l'article

Collection ISO 27001
La loi européenne sur l'IA : ce qu'elle implique et comment la mettre en œuvre
Collection NIS2
La loi européenne sur l'IA : ce qu'elle implique et comment la mettre en œuvre
Cyberday blog
La loi européenne sur l'IA : ce qu'elle implique et comment la mettre en œuvre

La loi sur l'intelligence artificielle (loi sur l'IA) est la première législation horizontale de l'UE en matière d'IA, qui définit les modalités de développement, de mise sur le marché et d'utilisation de l'IA. Elle s'applique aux fournisseurs, importateurs, distributeurs et exploitants, que leurs systèmes d'IA fonctionnent au sein de l'UE ou produisent simplement des résultats ayant une incidence sur les personnes qui y résident. L'objectif est de réduire les risques pour la santé, la sécurité et les droits fondamentaux tout en laissant la porte ouverte à une innovation fiable.

Une distinction importante par rapport à la plupart des cadres réglementaires : la loi sur l'IA ne se concentre pas principalement sur les risques pour votre organisation. Elle encadre les risques que les systèmes d'IA font peser sur les individus, les groupes et la société dans son ensemble. Un outil de recrutement discriminatoire, un modèle de crédit qui exclut injustement, un chatbot qui induit en erreur : tels sont les préjudices visés par la loi. Cette approche axée sur les risques externes détermine tous les aspects, de la classification à l'application de la loi.

La loi adopte une approche fondée sur les risques: plus le potentiel de préjudice est élevé, plus les contrôles sont stricts. Certaines pratiques en matière d'IA sont purement et simplement interdites, tandis que les systèmes à haut risque ne sont autorisés que sous réserve de conditions strictes en matière de gouvernance et d'exigences techniques. Pour les utilisations à moindre risque, les obligations restent légères, imposant des obligations de transparence de base plutôt que des régimes de conformité complets.

Différents niveaux de risque

Les systèmes à haut risque comprennent ceux déployés dans des domaines sensibles tels que l'application de la loi, l'emploi et les infrastructures critiques. Ces systèmes doivent répondre à des exigences rigoureuses en matière de gestion des risques, de contrôle humain, de gouvernance des données et de robustesse technique.

Les systèmes à risque limité comprennent les chatbots, les générateurs d'images ou de texte, ou encore les systèmes de recommandation de base. Ceux-ci sont uniquement soumis à des obligations de transparence, qui consistent principalement à indiquer aux utilisateurs qu'ils interagissent avec une IA.

Les systèmes à risque minimal, tels que les filtres anti-spam, ne sont soumis à aucune réglementation en vertu de cette loi, bien que l'adoption de codes de conduite volontaires soit encouragée.

Étant donné que cette loi s'appuie sur la législation européenne existante plutôt que de la remplacer, les organisations qui appliquent déjà le RGPD, les règles de sécurité des produits ou les cadres de protection des consommateurs bénéficient d'une longueur d'avance. Une grande partie des mesures de gouvernance requises peut s'ajouter à ce qui est déjà en place, même si les exigences en matière de documentation et de responsabilité sont renforcées tout au long du cycle de vie de l'IA.

Évaluation gratuite de la conformité : Vérifiez votre niveau de conformité à la loi sur l'IA

Ce qu'exige la loi sur l'IA

La loi s'articule autour de niveaux de risque, d'obligations liées aux rôles et de contrôles tout au long du cycle de vie. Elle instaure également des règles spécifiques pour les modèles d'IA à usage général et des obligations de transparence ciblées pour les interactions quotidiennes avec l'IA. Ces objectifs se traduisent par des instruments concrets : les interdictions et les contrôles des activités à haut risque protègent les droits fondamentaux, le marquage CE et les normes harmonisées garantissent la sécurité juridique, tandis que les bacs à sable réglementaires et les codes de bonnes pratiques favorisent l'innovation.

Il convient de noter que la définition d'un système d'IA donnée par la loi est délibérément neutre sur le plan technologique. Elle englobe tout logiciel capable de tirer des conclusions à partir de données d'entrée et de générer des résultats tels que des prévisions, des recommandations ou des décisions, qu'il repose sur l'apprentissage automatique, des méthodes logiques ou des approches statistiques. De nombreux outils que les équipes ne qualifient pas actuellement d'IA pourraient néanmoins entrer dans cette catégorie, ce qui rend indispensable de commencer par dresser un inventaire exhaustif.

Fournisseurs, déployeurs et chaîne de valeur

La loi sur l'IA attribue des obligations en fonction de la place que vous occupez dans la chaîne de valeur ; la distinction la plus importante est celle qui est faite entre les fournisseurs d'IA à haut risque et les exploitants de systèmes d'IA à haut risque. Les fournisseurs sont les organisations qui développent un système d'IA ou le mettent sur le marché sous leur propre nom. C'est sur eux que repose la charge réglementaire la plus lourde : la documentation technique, la gestion des risques, la gestion de la qualité, l'évaluation de la conformité, le marquage CE et la surveillance post-commercialisation incombent tous au fournisseur.

Les exploitants sont les organisations qui utilisent un système d'IA dans le cadre de leurs propres activités. Leurs obligations sont moins contraignantes mais restent importantes, en particulier pour les systèmes à haut risque. Les exploitants de systèmes d'IA à haut risque doivent garantir une supervision humaine, utiliser le système conformément aux instructions du fournisseur et surveiller les risques dans leur contexte spécifique. Ils sont également tenus de réaliser une analyse d'impact sur les droits fondamentaux avant de mettre en service un système à haut risque, afin de définir les impacts potentiels que l'utilisation du système d'IA pourrait avoir sur les individus, les groupes et la société. Les importateurs et les distributeurs ont leurs propres obligations en matière de vérification et de traçabilité, mais pour la plupart des lecteurs, c'est la distinction entre fournisseur et déployeur qui importe.

Comprendre le rôle que vous jouez dans chaque système d'IA constitue le point de départ de la mise en conformité. Une organisation peut être à la fois fournisseur pour un système et déployeur pour un autre, et les obligations varient considérablement d'un cas à l'autre.

Niveaux de risque et pratiques interdites

La loi définit quatre niveaux de risque : les pratiques interdites, les systèmes à haut risque, les utilisations à risque limité (transparence) et les utilisations à risque minimal. La charge réglementaire est directement proportionnelle à la classification des risques.

Les systèmes à haut risque nécessitent un programme de conformité complet couvrant l'ensemble de leur cycle de vie. 

Les systèmes à risque limité ne nécessitent que des mesures de divulgation et de transparence.

Les systèmes à risque minimal ne sont soumis à aucune obligation spécifique, bien que l'adoption de codes de conduite volontaires soit encouragée.

Cela signifie qu'il est tout aussi important de déterminer le niveau de risque de chaque système que de définir votre rôle, car ces deux éléments déterminent ensemble l'ampleur du travail nécessaire pour assurer la conformité.

Les pratiques interdites sont peu nombreuses mais strictes. Elles comprennent :

  • Une IA qui manipule les comportements d'une manière susceptible de causer un préjudice grave
  • Le « scoring social » pratiqué par les pouvoirs publics, qui conduit à un traitement injuste ou préjudiciable
  • Identification biométrique à distance en temps réel dans les espaces publics, limitée à des exceptions strictement définies relevant des forces de l'ordre
  • Plusieurs applications de classification biométrique qui permettent de déduire des caractéristiques sensibles

Classification « à haut risque » et obligations

Le cœur opérationnel de la loi porte sur la réglementation des systèmes d'IA à haut risque, et la législation classe ces utilisations en deux catégories. La première concerne l'IA utilisée comme composant de sécurité dans des produits réglementés par l'UE, tels que les dispositifs médicaux, les machines et les véhicules. La seconde concerne l'IA autonome utilisée dans le cadre de décisions sensibles, notamment l'accès à l'éducation, le recrutement et la gestion du personnel, l'évaluation de la solvabilité, les services essentiels, l'application de la loi, la migration et la justice.

La charge administrative liée à la mise en conformité des systèmes à haut risque est considérable. Les prestataires doivent :

  • Mettre en place un système de gestion des risques
  • Mettre en place un système de gestion de la qualité
  • Mettre en place une gouvernance des données pour les ensembles de données destinés à la formation, à la validation et aux tests
  • Assurer la documentation, la journalisation, l'exactitude, la fiabilité, la cybersécurité et le contrôle humain
  • Gérer un système de surveillance post-commercialisation et de notification des incidents

Les exploitants de systèmes à haut risque sont soumis à des obligations moins nombreuses, mais néanmoins importantes. Ils doivent utiliser le système conformément aux instructions du fournisseur, garantir une supervision humaine, surveiller les risques spécifiques au contexte et réaliser une analyse d'impact sur les droits fondamentaux avant le déploiement.

La transparence dans les interactions quotidiennes avec l'IA

Même les utilisations de l'IA qui ne relèvent pas de la catégorie à haut risque peuvent nécessiter des mesures de protection. La loi impose une information claire lorsque les utilisateurs interagissent avec des systèmes d'IA tels que les chatbots, et exige l'apposition d'étiquettes sur les contenus synthétiques ou manipulés susceptibles d'être confondus avec des contenus authentiques. Ensemble, ces mesures réduisent le risque de tromperie et aident les utilisateurs à évaluer leur niveau de confiance.

Dans la pratique, les fournisseurs et les responsables du déploiement doivent adapter en conséquence les interfaces, les flux de contenu et les notifications destinées aux utilisateurs. Le personnel doit savoir dans quels cas les notifications d'interaction avec l'IA et les mentions indiquant la présence de contenu synthétique s'appliquent, en particulier lorsque ces obligations recoupent les politiques de la plateforme, les processus marketing et les communications publiques.

Modèles d'IA à usage général et risque systémique

Les modèles d'IA à usage général possèdent des capacités interdomaines, ce qui signifie que leurs fournisseurs doivent tenir à jour une documentation technique, publier des informations sur leurs capacités et leurs limites, et fournir aux utilisateurs en aval les détails nécessaires concernant les risques. Les mesures de protection des droits d'auteur et les résumés des données d'entraînement font partie de cette obligation de transparence.

Les modèles classés comme ayant un impact élevé sont soumis à des obligations plus strictes en raison du risque systémique qu'ils peuvent présenter, notamment en matière d'évaluation des modèles, de tests adversariaux, de contrôles de cybersécurité, de signalement des incidents et de transparence des ressources concernant l'utilisation des ressources informatiques et la consommation d'énergie. Les fournisseurs de ces modèles doivent coopérer avec les autorités de régulation et soutenir l'élaboration de normes et de codes de bonnes pratiques harmonisés.

Les intermédiaires qui affinent ou reconditionnent des modèles à usage général héritent des obligations en matière de documentation imposées au fournisseur d'origine, tandis que les déployeurs en aval doivent évaluer de manière indépendante leurs propres cas d'utilisation et se conformer aux obligations relatives aux risques élevés ou à la transparence qui s'appliquent dans leur contexte.

Évaluation de la conformité et marquage CE

Avant qu'un système à haut risque puisse être mis sur le marché ou mis en service, il doit faire l'objet d'une évaluation de la conformité. Certaines évaluations reposent sur un contrôle interne étayé par une documentation technique, tandis que d'autres nécessitent un examen par un organisme notifié. Une fois la conformité du système établie, le fournisseur appose le marquage CE et l'enregistre dans la base de données de l'UE sur l'IA.

Cette loi prévoit également des normes harmonisées et des spécifications communes, qui constituent des moyens concrets de démontrer la présomption de conformité. Les prestataires doivent tenir à jour des dossiers techniques complets et les actualiser à chaque nouvelle version et à chaque cycle de formation continue.

Gouvernance, application et sanctions

Chaque État membre désignera une autorité nationale de surveillance, tandis que les organismes notifiés et les autorités de surveillance du marché seront chargés de contrôler les systèmes à haut risque relevant de la réglementation des produits. Au niveau de l'Union européenne, une structure de coordination pilotera l'élaboration des normes, publiera des lignes directrices et traitera les cas transfrontaliers.

Les sanctions en cas de non-respect sont lourdes. Le recours à des pratiques interdites ou le non-respect d'exigences essentielles peut entraîner des amendes pouvant atteindre soit un montant forfaitaire, soit un pourcentage du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. La loi adapte ces plafonds en fonction de la taille de l'organisation et de la gravité de l'infraction. La tenue de registres précis et la notification rapide des incidents peuvent réduire considérablement le risque de sanctions.

Comment mettre en œuvre la loi sur l'IA au sein de votre organisation

La mise en œuvre pratique est plus efficace lorsqu'elle s'appuie sur les structures de gouvernance existantes, et les petites équipes peuvent organiser leur travail de manière à s'aligner sur le calendrier de déploiement par étapes, plutôt que de tout aborder d'un seul coup.

Les deux questions qui déterminent tout le reste sont les suivantes : quel est votre rôle pour chaque système d'IA (fournisseur ou déployeur) et quelle est la classification de risque du système ? Commencez par dresser un inventaire des systèmes d'IA et de leurs fonctionnalités au sein de votre organisation, puis attribuez à chacun un rôle et une catégorie de risque. Un déployeur utilisant un chatbot à risque limité est soumis à des obligations de divulgation. Un déployeur utilisant un outil de recrutement à haut risque doit mettre en place des mécanismes de contrôle humain et réaliser une analyse d'impact sur les droits fondamentaux. Un fournisseur de ce même outil doit se conformer à l'ensemble du programme de conformité. Effectuer correctement ce classement dès le début permet d'éviter à la fois une conception trop complexe et des lacunes dangereuses.

À partir de là, procédez à des évaluations structurées des risques pour les éléments à haut risque, en couvrant les aspects liés à la sécurité, aux biais, à la robustesse, à la traçabilité des données et à l'impact sur les droits. Mettez en place un système de gestion de la qualité, actualisez les contrats d'approvisionnement afin d'y intégrer les obligations découlant de la loi sur l'IA, et harmonisez les AIPD existantes ou les tests de sécurité avec les évaluations des risques liés à l'IA afin d'éviter les doublons. La conformité ne s'arrête pas au lancement : les modèles évoluent et les contextes changent ; la surveillance post-commercialisation et la réévaluation périodique doivent donc faire partie intégrante du rythme opérationnel.

Pour les équipes de sécurité, tout cela leur semblera en grande partie familier. La modélisation des menaces peut s’étendre aux risques liés à l’apprentissage automatique malveillant, le développement sécurisé peut intégrer la traçabilité des données et des protocoles d’évaluation, et la gestion des incidents peut s’élargir pour couvrir les événements spécifiques à l’IA et les notifications aux autorités de régulation. Pour les responsables de la conformité, l’opportunité d’harmonisation est bien réelle : la gouvernance des données dans le cadre du RGPD s’aligne naturellement sur les contrôles des ensembles de données d’IA, et un seul contrôle bien conçu peut fournir des preuves valables pour plusieurs référentiels.

Cyberday vous aider à centraliser votre inventaire des systèmes d'IA, à mettre en correspondance les mesures de contrôle avec la loi sur l'IA et à les aligner sur les normes ISO 27001, NIS2 et le RGPD. Les tableaux de bord permettent de visualiser la couverture des mesures de contrôle dans l'ensemble des référentiels, de suivre le statut des fournisseurs et les incidents, et de générer des exportations prêtes pour l'audit, afin que vous puissiez concentrer vos efforts là où les risques sont les plus élevés.

Commencez avec Cyberday

Cyberday les équipes Cyberday mettre en œuvre la loi sur l'IA (AI Act) en parallèle avec les normes ISO 27001, NIS2 et le RGPD. Vous pouvez tenir à jour un inventaire des actifs d'IA, mettre en correspondance les obligations avec les mesures de contrôle et collecter des preuves en une seule fois pour plusieurs référentiels. Des tableaux de bord permettent de suivre la conformité, le statut des fournisseurs et les incidents, afin que vous puissiez concentrer vos efforts là où les risques sont les plus élevés.

Vérifiez dès maintenant votre statut au regard de la loi sur l'IA : Évaluation relative à la loi sur l'IA

Webinaire : Les agents IA dans le travail ISMS

Découvrez comment les agents IA peuvent accélérer les étapes les plus chronophages de votre processus de conformité, de la mise en place des fondements du SMSI à la gestion des risques, en passant par les audits, les questionnaires, la documentation et la formation, sans compromettre le contrôle, la cohérence ou l'auditabilité.

Regardez le webinaire

Autres articles sur le même thème

Voir la collection ISO 27001
Voir la collection complète de NIS2

Autres articles de blog

Plus d'articles dans la catégorie

09.04.2026

La loi européenne sur l'IA : ce qu'elle implique et comment la mettre en œuvre

Guide de conformité à la loi européenne sur l'intelligence artificielle (loi sur l'IA) : définir les rôles, gérer les risques et la gouvernance, classer les IA à haut risque, respecter les obligations en matière de transparence et de marquage CE.
01.04.2026

La loi européenne sur l'IA et la norme ISO 42001 : différences, recoupements et comment les utiliser conjointement

La loi européenne sur l'IA face à la norme ISO 42001 : découvrez leurs principales différences, leurs points communs et comment les utiliser conjointement pour mettre en place une gouvernance de l'IA à la fois pratique et conforme.
26.02.2026

ISO 27001 et RGPD : comment la norme internationale soutient le règlement général sur la protection des données

Dans cet article, nous passerons rapidement en revue la norme ISO 27001 et le RGPD, examinerons leurs similitudes et discuterons de l'utilité de la norme ISO 27001 pour la conformité au RGPD. Nous aborderons également la coopération entre le RGPD et la norme ISO 27701.
Amélioration de la conformité sans effort
La plus grande bibliothèque de cadres de l'UE
Un soutien étendu

Obtenez votre base d'
s sur la conformité en quelques minutes.

Découvrez à quoi ressemble un ISMS basé sur l'IA dans la pratique.
Commencez un essai gratuit et voyez votre travail de conformité démarrer en quelques minutes.

Commencer un essai gratuit
Réserver une réunion
Comment cela fonctionne-t-il ?
RésuméTâches et assurance de la sécuritéFlux de travail de documentationDirectives pour les employésModèles de rapportCentre fiduciaire
Cas d'utilisation
Par cadreTous les cadresISO 27001Directive NIS2NIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Par méthodeGestion du risque cybernétiqueSensibilisation des employésRapport de conformitéGestion des contrôlesGestion des actifsGestion de la vie privéeÉvaluation des fournisseursAudits internes
Ressources
AcadémieWebinarsBlogArticles d'aideCours vidéoCentre fiduciaireBibliothèque de contenuGuidesBulletinLaissez un commentaireProgramme de partenariatTeamConditions d'utilisationPolitique de confidentialité
Contactez nous
+358 10 231 6010
team@cyberday.ai
L'application fonctionne dans :
Connu en Finlande sous le nom de Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finlande
Cyberday.ai - Améliorer et certifier votre cybersécurité