IA Act :Nouvelles obligations dès août 2025

/ / Published in blog, Nouvelles technologies

Adopté en mai 2024, l’IA Act constitue le premier cadre juridique mondial dédié à la régulation des systèmes d’intelligence artificielle. Son entrée en vigueur le 1er août 2024, a ouvert un calendrier d’application progressif visant à laisser aux acteurs le temps de s’y conformer.

La prochaine échéance clé est fixée au 2 août 2025 : une date qui marque l’entrée en application d’un ensemble de dispositions structurantes pour les opérateurs d’IA dans l’UE.

Quels sont les acteurs concernés ?

Les nouvelles obligations visent principalement :

  • Les fournisseurs de modèles d’IA à usage général (General Purpose AI – GPAI), c’est-à-dire les concepteurs et développeurs de systèmes d’IA pouvant être utilisés dans des contextes multiples et variés. Une IA à usage général désigne un système d’intelligence artificielle capable de remplir une large gamme de tâches, sans être limité à un usage spécifique ou à un domaine particulier.
  • Les fournisseurs de GPAI à impact systémique : ce sont les acteurs exploitant des modèles présentant une large diffusion et une influence significative sur le marché européen ou la société, avec des exigences renforcées à leur charge.
  • Les États membres de l’UE, qui doivent, à cette date, avoir désigné leurs autorités nationales compétentes chargées de la surveillance et de l’application du règlement.

Quelles sont les obligations à mettre en œuvre pour le 2 août 2025 ?

Pour les fournisseurs de GPAI : obligations de transparence et de documentation

Les développeurs de GPAI devront :

  • Préparer et mettre à disposition une documentation technique détaillée permettant aux utilisateurs et aux autorités compétentes (qui seront désignées à la même date) de comprendre le fonctionnement du modèle. Cette documentation inclut notamment le processus d’entrainement et d’essai ainsi que les résultats de son évaluation et d’autre part, mettre à disposition des informations et de la documentation aux fournisseurs de systèmes d’IA qui envisagent d’intégrer le modèle permettant ainsi à ces derniers de comprendre ses capacités et ses limites.
  • Publier un résumé synthétique des ensembles de données utilisées pour l’entraînement du modèle, en particulier les contenus protégés par le droit d’auteur, afin de renforcer la transparence sur les sources et de garantir le respect du droit de l’Union européenne. Ils sont également tenus de mettre en place une politique interne de conformité de droits d’auteur.
  • Permettre aux titulaires de droits de vérifier le respect des conditions d’accès et d’utilisation de leurs œuvres, et, le cas échéant, de s’opposer à la fouille de données (“opt-out”). Cette transparence sur les sources devrait, en principe, permettre aux titulaires de droits d’auteur et de droits voisins de vérifier que les conditions d’accès et d’utilisation de leurs œuvres ont été respectées.
  • Fournir une notice d’usage accessible, précisant les fonctionnalités du modèle, ses limites, les risques potentiels et les bonnes pratiques d’utilisation recommandées.

Pour les GPAI à impact systémique : exigences supplémentaires

Les fournisseurs de modèles considérés comme systémiques devront en plus mettre en place :

  • une évaluation de risque ex-ante approfondies : procéder à des évaluations de risques préalables détaillées, non seulement sur les aspects techniques du modèle, mais aussi sur ses usages potentiels et ses effets sociétaux. Ces évaluations doivent être documentées, mises à jour régulièrement et intégrer des scénarios d’utilisation réels ou potentiels, afin d’identifier et de limiter les impacts négatifs avant la mise sur le marché ou la diffusion du modèle.
  • des mesures de sécurité renforcées : démontrer la mise en place de mesures de sécurité adaptées pour prévenir les détournements ou les utilisations malveillantes du modèle. Les fournisseurs doivent également garantir la robustesse du modèle face à des usages non prévus et prévoir des dispositifs de détection et de réponse aux incidents de sécurité.
  • une coopération active avec les autorités de supervision : les fournisseurs devront coopérer activement avec les autorités de supervision européennes et nationales, notamment en fournissant toutes les informations demandées sur leur modèle, ses risques, ses évaluations et les mesures de sécurité mises en place. Une transparence accrue et une communication régulière avec les régulateurs sont attendues pour garantir la conformité continue du modèle.
  • Gouvernance robuste des données et des processus de développement : les fournisseurs devront instaurer une gouvernance stricte concernant la collecte, le traitement et l’utilisation des données d’entraînement, ainsi que sur l’ensemble du cycle de développement du modèle.

Pour les États membres : désignation des autorités compétentes

Chaque État membre devra, avant le 2 août 2025 :

  • Désigner les autorités nationales compétentes chargées de contrôler l’application de l’IA Act. Ces autorités seront responsables de la surveillance du respect du règlement et de la coordination avec les autres instances européennes. Si plusieurs autorités compétentes sont désignées au sein d’un même État membre, l’une d’entre elles fera office de point de contact national, afin de faciliter les échanges avec la Commission européenne, les autorités homologues et le grand public. Les systèmes d’IA à haut risque déjà soumis à une régulation sectorielle resteront régulés par les autorités qui les contrôlent aujourd’hui (par exemple l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) pour les dispositifs médicaux).
  • Mettre en place les structures de surveillance, de contrôle et de traitement des réclamations des utilisateurs. Ces structures devront être dotées de ressources suffisantes pour mener à bien leurs missions et assurer un suivi continu des incidents ou plaintes.

Quelles sont les sanctions ?

En cas de manquement aux obligations prévues par l’IA Act, des sanctions financières particulièrement dissuasives sont prévues. Les amendes peuvent atteindre jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel de l’entreprise, en fonction de la gravité de l’infraction.

Les sanctions varient selon la nature du manquement : les violations des interdictions strictes (comme la manipulation cognitive ou la notation sociale) entraînent les pénalités les plus lourdes, tandis que les infractions aux obligations de transparence ou de documentation peuvent être sanctionnées à hauteur de 7,5 millions d’euros ou 1,5 % du chiffre d’affaires annuel mondial.

Dès le 2 août 2025, date d’entrée en application des premières dispositions du règlement, ces sanctions pourront être appliquées aux manquements relatifs aux modèles d’IA à usage général, notamment en cas de non-respect des exigences de transparence, de publication des jeux de données, ou d’absence de politique de conformité au droit d’auteur. Les autorités nationales compétentes et l’Office européen de l’IA seront chargés de la mise en œuvre et du suivi de ces sanctions.

En définitif, cette échéance du 2 août 2025 constitue une étape clé dans la construction d’un cadre juridique harmonisé visant à assurer un développement responsable et éthique des systèmes d’IA dans l’Union européenne. Les acteurs concernés, devront se préparer activement pour répondre à ces exigences en matière de transparence, de sécurité et de gouvernance.

Vous souhaitez un accompagnement en matière d’IA? Contactez nos équipes!

What you can read next

Filtrage, Image des enfants, Mauvaise application du RGPD: les news du mois de mai
La délicate balance des intérêts entre les droits des personnes au respect de leur vie privée et la liberté d’expression et d’information
Le point sur : le Digital Market Act