Cadre de conformité de l’AI Act : défis et évolutions réglementaires clés

By /

AI Act : cadre de conformité, défis clés et évolutions réglementaires

La Loi sur l’IA établit un cadre légal destiné à réguler l’utilisation des systèmes d’IA au sein de l’Union européenne. Depuis son adoption, le texte a continué d’évoluer, notamment à travers des lignes directrices, des normes harmonisées et des ajustements au calendrier de mise en œuvre, afin de faciliter son application opérationnelle par les entreprises.

Entre les exigences déjà applicables et les clarifications encore en cours, les acteurs de l’IA doivent naviguer au sein d’un cadre réglementaire dynamique, parfois complexe, mais structurant pour l’avenir de l’innovation responsable.

1. Éléments officiels déjà en vigueur

Champ d’application de la réglementation et définitions clés

La Commission Européenne a publié plusieurs lignes directrices officielles visant à sécuriser l’interprétation juridique de la Loi sur l’IA. Ces documents fournissent des clarifications essentielles sur :

  • La définition d’un système d’IA, basée sur la capacité du système à inférer, générer des résultats ou prendre des décisions influençant des environnements physiques ou numériques ;
  • Les pratiques d’IA prohibées, telles que définies par le Règlement (UE) 2024/1689, notamment celles portant atteinte aux droits fondamentaux (manipulation cognitive, notation sociale, exploitation des vulnérabilités).

Ces textes constituent actuellement des références juridiques stables pour l’interprétation du Règlement par les entreprises et les autorités de surveillance nationales.

Gouvernance nationale et rôle des autorités compétentes

La Loi sur l’IA exige que chaque État membre désigne au moins une autorité de notification et une autorité de surveillance du marché responsables de la surveillance de son application et de sa mise en œuvre.

Cependant, la réglementation accorde aux États membres une large discrétion dans l’organisation de ces autorités : les responsabilités peuvent être attribuées à une seule autorité ou réparties entre plusieurs autorités, avec ou sans point de contact unique.

Leurs rôles sont les suivants :

  • Autorités de surveillance du marché : elles assurent la supervision des systèmes d’IA placés sur le marché ou utilisés sur le territoire national, notamment ceux classés comme à haut risque.
  • Autorités de notification : elles structurent l’écosystème de certification nationale en désignant les organismes notifiés.

Outil européen de signalement

Pour renforcer la surveillance post-marché, la Commission Européenne a établi une plateforme de signalement sécurisée accessible à toute personne concernée (employé, utilisateur, prestataire de services, tiers).

Les rapports peuvent concerner :

  • Des violations des obligations énoncées par la Loi sur l’IA (y compris des risques, etc.) ;
  • Des incidents graves présentant un risque pour la santé, la sécurité, les droits fondamentaux ou l’environnement.

La plateforme garantit un traitement anonyme et sécurisé et s’inscrit dans une approche préventive et de correction rapide des risques.

Position de la Commission sur les agents d’IA

Les agents d’IA, capables d’agir de manière autonome sans nécessairement une supervision humaine continue, relèvent pleinement du champ d’application de la Loi sur l’IA.

La Commission confirme qu’un agent d’IA peut être classé comme un système d’IA à haut risque s’il répond aux critères de l’Article 6. Les obligations applicables dépendent du contexte d’utilisation, notamment dans des secteurs sensibles tels que la sécurité publique, les services financiers ou la gestion des ressources humaines.

L’autonomie du système ne constitue donc pas une exonération, mais plutôt un facteur aggravant en termes de risques.

Lignes directrices sur les modèles d’IA à usage général (GPAI)

Les fournisseurs de modèles d’IA à usage général doivent également se conformer à des exigences renforcées depuis août 2025. Les lignes directrices GPAI clarifient :

  • Les critères de qualification des modèles GPAI et des modèles GPAI présentant des risques systémiques ;
  • Les obligations des fournisseurs : gestion des risques, documentation technique complète, surveillance des risques ;
  • Les exemptions et obligations pour les fournisseurs de modèles open-source.

Exemptions pour les modèles open-source

Les modèles d’IA open-source bénéficient d’exemptions ciblées, notamment en ce qui concerne la documentation technique, la fourniture d’informations aux intégrateurs des modèles concernés, et la désignation d’un représentant autorisé pour les fournisseurs établis en dehors de l’UE.

Cependant, certaines obligations demeurent, notamment en matière de droits d’auteur et de transparence concernant les données d’entraînement.

Code de bonne pratique pour les modèles d’IA à usage général (GPAI)

Validé par la Commission Européenne en juillet 2025, le Code de bonne pratique GPAI constitue un outil d’alignement volontaire destiné à aider les fournisseurs à se conformer à la législation de la Loi sur l’IA.

Il est divisé en trois chapitres :

  • Transparence : structuration des informations à fournir ;
  • Droits d’auteur : conformité avec la législation européenne sur les droits d’auteur ;
  • Sécurité et protection : exigences renforcées pour les modèles à fort impact ou présentant des risques systémiques.

Bien que non contraignant, ce Code constitue une référence stratégique pour démontrer une approche proactive de conformité.

2. Éléments à clarifier ou en consultation

Proposition de Code de bonne pratique sur le marquage et l’étiquetage des contenus générés par l’IA

Le 17 décembre 2025, la Commission Européenne a publié un premier projet de Code de bonne pratique sur le marquage et l’étiquetage des contenus générés ou manipulés par l’IA, dans le cadre de la mise en œuvre de l’Article 50 de la Loi sur l’IA.

Ce Code volontaire vise à soutenir les fournisseurs d’IA générative et les déployeurs professionnels dans l’anticipation des obligations de transparence futures, notamment en ce qui concerne le marquage lisible par machine et l’étiquetage des deepfakes.

Une consultation est ouverte jusqu’au 23 janvier 2026, en vue d’une adoption finale du Code d’ici juin 2026, avant l’entrée en application des obligations légales en août 2026.

Lignes directrices actuellement en cours d’élaboration

Plusieurs lignes directrices sont encore en cours de rédaction, notamment :

  • Lignes directrices sur la transparence des systèmes d’IA soumis à des obligations spécifiques, attendues d’ici mi-2026 ;
  • Consultations progressives et thématiques concernant les systèmes d’IA à haut risque, qui pourraient s’étendre jusqu’en août 2026.

Lignes directrices annoncées mais non encore publiées

La Commission Européenne a également annoncé des lignes directrices à venir, y compris :

  • La mise en œuvre pratique de la classification des systèmes à haut risque ;
  • Les modalités précises de signalement des incidents par les fournisseurs de systèmes d’IA ;
  • La mise en œuvre pratique des obligations concernant les fournisseurs et déployeurs de systèmes à haut risque (notamment sur la notion de modification substantielle, etc.).

Des lignes directrices relatives aux exigences de transparence sont également attendues. Ces textes sont anticipés, mais leur contenu final n’est pas encore connu.

Normes harmonisées et défis techniques

Les normes harmonisées visent à traduire les exigences légales du Règlement en spécifications techniques.

Certaines sont actuellement en consultation, notamment celles relatives à :

  • Sécurité informatique : le 7 novembre 2025, la Commission a indiqué que le projet de norme, tel qu’il est présenté, ne fournit pas encore de spécifications techniques suffisamment claires et opérationnelles pour répondre aux exigences de l’Article 15(5) de la Loi sur l’IA. Une révision du projet de norme est actuellement en préparation ;
  • Systèmes de gestion de la qualité (SGQ) : actuellement en phase d’enquête publique depuis octobre 2025.

3. Incertitudes restantes : calendrier et reports potentiels

Le calendrier de la Loi sur l’IA et les changements potentiels

Le calendrier initial prévoit l’application des obligations de conformité pour les systèmes à haut risque à partir de 2026. Cependant, la Commission Européenne a récemment proposé un report ciblé, prévoyant :

  • 2026 : entrée en vigueur des obligations pour les systèmes figurant en Annexe III ;
  • 2027 : entrée en vigueur des obligations pour les systèmes relevant de l’Annexe I.

Cette proposition est actuellement en attente d’approbation par le Parlement Européen et le Conseil de l’UE.

Sur la route de la conformité : prochaines étapes clés

Malgré ces évolutions et ajustements, une chose est claire : la conformité à la Loi sur l’IA ne sera pas considérée comme un exercice ponctuel, mais comme un processus continu.

Les acteurs de l’IA doivent non seulement suivre les évolutions réglementaires, mais également prendre les mesures nécessaires pour anticiper l’application de la Loi sur l’IA, tout en optimisant la sécurité, la gestion des risques et la transparence de leurs systèmes.

Les mécanismes de signalement, les normes harmonisées et les codes de bonnes pratiques joueront un rôle central dans cette dynamique.

Anticiper aujourd’hui pour sécuriser demain

Nous vous accompagnons dès à présent pour garantir votre conformité. Grâce à notre expertise technique et réglementaire, nous vous assistons dans la mise en œuvre des exigences du Règlement, de la gestion des risques à la conformité des systèmes d’IA.

Contactez-nous pour un diagnostic personnalisé et un soutien sur mesure afin de naviguer avec succès sur le chemin de la conformité à l’IA.

Scroll to Top