📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

AI Act – Règlement européen sur l’intelligence artificielle (Articles 1 à 113)

Le Règlement européen sur l’intelligence artificielle (AI Act) compte 113 articles organisés en 13 chapitres. Cette page vous donne un accès direct à chacun d’entre eux, avec un résumé rapide et un lien vers la fiche détaillée correspondante.

Le but est de vous aider à naviguer facilement dans le texte du règlement et à retrouver rapidement l’article qui vous intéresse.

Comprendre et appliquer l’IA Act en pratique

Lire les articles du règlement européen sur l’intelligence artificielle donne une vision juridique, mais pour votre entreprise, il est essentiel d’aller plus loin : comprendre ce que l’IA Act signifie concrètement et savoir comment l’appliquer au quotidien. Chez Mon Expert RGPD, nous accompagnons les TPE, PME et associations dans cette démarche de conformité à l’IA Act, en lien direct avec vos usages de l’intelligence artificielle. Voici les bases incontournables à maîtriser.

Qu’est-ce que l’IA Act ?

L’IA Act (Règlement européen sur l’intelligence artificielle), adopté en 2024, est le premier cadre juridique global au monde consacré à l’utilisation des systèmes d’intelligence artificielle. Son objectif : garantir que l’IA mise sur le marché européen soit sécurisée, éthique et respectueuse des droits fondamentaux. Le texte repose sur une approche proportionnée selon le niveau de risque :
  • Risque inacceptable : certaines pratiques d’IA (comme la surveillance biométrique de masse ou la manipulation cognitive) sont interdites.
  • Risque élevé : les systèmes utilisés dans des domaines sensibles (recrutement, santé, éducation, sécurité, finance…) sont soumis à des exigences strictes.
  • Risque limité ou minimal : des obligations de transparence et d’information s’appliquent.
Concrètement, cela signifie que toute organisation qui développe, intègre ou utilise un système d’IA dans ses activités peut être concernée par l’IA Act même une PME utilisant des outils tiers basés sur l’IA.

Les obligations des entreprises

Pour les systèmes à haut risque, l’IA Act impose plusieurs obligations clés :
  • Gouvernance et documentation : constitution d’un dossier technique complet retraçant le fonctionnement du système.
  • Gestion des risques : évaluation, surveillance et atténuation des risques liés à l’IA.
  • Qualité des données : utilisation de jeux de données représentatifs, sans biais et suffisamment robustes.
  • Transparence : les utilisateurs doivent comprendre le fonctionnement et les limites de l’IA.
  • Surveillance humaine : garantir la possibilité d’une intervention ou d’un contrôle humain.
  • Sécurité et conformité CE : mise en place de procédures internes de conformité et d’un suivi post-commercialisation.
Pour les systèmes d’IA à usage limité, des obligations plus légères comme l’information des utilisateurs sur le caractère artificiel d’une interaction peuvent suffire.

Le rôle du Délégué à la Protection des Données (DPO)

Le DPO (Data Protection Officer) devient un acteur clé. Sa mission : vérifier que les systèmes d’IA utilisés ou développés respectent le cadre de l’IA Act, assurer la traçabilité documentaire, sensibiliser les équipes et faciliter le dialogue avec les autorités de supervision. Externaliser cette fonction comme le propose Mon Expert RGPD permet de bénéficier d’un accompagnement expert tout en optimisant vos ressources internes.

Se mettre en conformité : par où commencer ?

La conformité à l’IA Act s’inscrit dans une démarche continue, articulée en plusieurs étapes :
  1. Cartographier vos usages d’IA : identifier les outils, modèles ou services basés sur l’IA dans votre organisation.
  2. Évaluer le niveau de risque de chaque système selon les critères du règlement.
  3. Documenter et sécuriser : préparer les éléments techniques et organisationnels exigés (registre, tests, documentation produit, procédures internes).
  4. Former et sensibiliser vos équipes : comprendre les enjeux éthiques, réglementaires et techniques.
  5. Mettre en place une gouvernance durable : suivi post-déploiement, gestion des incidents, réévaluation des risques.
Cette approche structurée vous permet d’aborder la conformité pas à pas, en transformant vos projets d’IA en leviers de confiance et d’innovation.
Êtes-vous concerné par l’IA Act ?
En quelques questions, identifiez si vos usages de l’IA sont soumis au règlement et à quel niveau de risque.
Diagnostic rapide, sans engagement.

Table des matières

ℹ️ Fiches en cours de publication : articles 1 à 27 disponibles. Mise à jour continue.

Dernière mise à jour : 21 janvier 2026

Chapitre I – Dispositions générales

  • Article 1 – Objet et objectifs

    Le règlement encadre le développement et l’utilisation des systèmes d’intelligence artificielle dans l’Union européenne afin de protéger les personnes, garantir la sécurité et assurer une utilisation responsable de l’IA.

  • Article 2 – Champ d’application

    Définit les acteurs et les usages de l’IA couverts par le règlement. Précise les cas d’exclusion, notamment pour la sécurité nationale, la défense, la recherche ou les usages personnels.

  • Article 3 – Définitions

    Précise les notions essentielles du règlement, telles que système d’IA, fournisseur, déployeur, système à haut risque ou modèle d’IA à usage général. Ces définitions servent de base à l’application de l’AI Act.

  • Article 4 – Maîtrise de l’IA

    Impose aux acteurs de l’IA de garantir un niveau suffisant de compétences et de formation des personnes impliquées. Vise à assurer une utilisation responsable et éclairée des systèmes d’IA.

Chapitre II – Pratiques interdites en matière d’IA

  • Article 5 – Pratiques interdites

    Énumère les usages de l’IA considérés comme présentant un risque inacceptable pour les droits fondamentaux. Interdit notamment certaines pratiques manipulatoires, de notation sociale et de reconnaissance biométrique.

Chapitre III – Systèmes d’IA à haut risque

Section 1 – Classification de systèmes d’IA comme systèmes à haut risque

Section 2 – Exigences applicables aux systèmes d’IA à haut risque

  • Article 8 – Respect des exigences

    Impose aux systèmes d’IA à haut risque de respecter l’ensemble des exigences prévues par le règlement. Prévoit une coordination avec les législations sectorielles existantes afin d’éviter les doublons de conformité.

  • Article 9 – Système de gestion des risques

    Oblige à mettre en place un processus continu de gestion des risques tout au long du cycle de vie du système d’IA. Vise à identifier, évaluer et atténuer les risques pour la santé, la sécurité et les droits fondamentaux.

  • Article 10 – Données et gouvernance des données

    Encadre la qualité, la représentativité et la gouvernance des données utilisées pour entraîner, valider et tester les systèmes d’IA à haut risque. Autorise, sous conditions strictes, l’utilisation de données sensibles pour corriger les biais.

  • Article 11 – Documentation technique

    Impose à l’établissement, la mise à jour d’une documentation technique démontrant la conformité du système d’IA à haut risque. Prévoit des modalités simplifiées pour les PME et les start-ups.

  • Article 12 – Enregistrement

    Exige que les systèmes d’IA à haut risque enregistrent automatiquement les événements pertinents de leur fonctionnement. Ces journaux permettent la traçabilité, la surveillance et le contrôle a posteriori.

  • Article 13 – Transparence et fourniture d’informations aux déployeurs

    Impose une transparence suffisante pour permettre aux déployeurs de comprendre et d’utiliser correctement les sorties du système d’IA. Prévoit la fourniture d’une notice d’utilisation claire et détaillée.

  • Article 14 – Contrôle humain

    Garantit un contrôle effectif par des personnes physiques sur les systèmes d’IA à haut risque. Permet notamment l’intervention humaine, la suspension du système ou l’annulation de ses résultats.

  • Article 15 – Exactitude, robustesse et cybersécurité

    Exige que les systèmes d’IA à haut risque atteignent un niveau élevé d’exactitude, de robustesse et de cybersécurité. Vise à prévenir les défaillances, les biais persistants et les attaques malveillantes.

Section 3 – Obligations incombant aux fournisseurs et aux déployeurs de systèmes d’IA à haut risque et à d’autres parties

  • Article 16 – Obligations incombant aux fournisseurs de systèmes d’IA à haut risque

    Fixe l’ensemble des obligations pesant sur les fournisseurs de systèmes d’IA à haut risque. Couvre notamment la conformité aux exigences techniques, la gestion de la qualité, l’évaluation de conformité, le marquage CE, l’enregistrement et la coopération avec les autorités.

  • Article 17 – Système de gestion de la qualité

    Impose la mise en place d’un système de gestion de la qualité documenté couvrant l’ensemble du cycle de vie du système d’IA. Ce système inclut la gestion des risques, des données, des incidents et la surveillance après commercialisation.

  • Article 18 – Conservation des documents

    Oblige les fournisseurs à conserver pendant dix ans la documentation technique, la déclaration UE de conformité et les documents relatifs à l’évaluation de conformité. Garantit la disponibilité de ces documents pour les autorités compétentes.

  • Article 19 – Journaux générés automatiquement

    Impose la conservation des journaux générés par les systèmes d’IA à haut risque lorsque ceux-ci sont sous le contrôle du fournisseur. Ces journaux doivent être conservés pendant une durée minimale adaptée à la finalité du système.

  • Article 20 – Mesures correctives et devoir d’information

    Oblige les fournisseurs à prendre des mesures correctives en cas de non-conformité ou de risque identifié. Impose l’information des autorités compétentes et des acteurs concernés lorsque le système présente un risque.

  • Article 21 – Coopération avec les autorités compétentes

    Impose aux fournisseurs de coopérer avec les autorités de contrôle en fournissant les informations, documents et accès nécessaires. Garantit le respect des obligations de confidentialité applicables.

  • Article 22 – Mandataires des fournisseurs

    Oblige les fournisseurs établis hors de l’Union à désigner un mandataire dans l’UE. Définit les missions du mandataire, notamment en matière de documentation, de coopération avec les autorités et de démonstration de la conformité.

  • Article 23 – Obligations des importateurs

    Fixe les obligations des importateurs avant la mise sur le marché d’un système d’IA à haut risque. Ils doivent vérifier la conformité, la documentation, le marquage CE et coopérer avec les autorités compétentes.

  • Article 24 – Obligations des distributeurs

    Impose aux distributeurs de vérifier la conformité des systèmes d’IA à haut risque avant leur mise à disposition sur le marché. Prévoit des obligations de retrait, de rappel et d’information en cas de non-conformité ou de risque.

  • Article 25 – Responsabilités dans la chaîne de valeur de l’IA

    Précise les cas dans lesquels un acteur devient juridiquement considéré comme fournisseur d’un système d’IA à haut risque. Encadre la répartition des responsabilités et la coopération contractuelle entre les acteurs.

  • Article 26 – Obligations des déployeurs

    Fixe les obligations applicables aux utilisateurs de systèmes d’IA à haut risque, notamment en matière de contrôle humain, de surveillance, de tenue des journaux et d’information des personnes concernées. Encadre strictement l’usage des systèmes biométriques.

  • Article 27 – Analyse d’impact sur les droits fondamentaux

    Impose la réalisation d’une analyse d’impact avant le déploiement de certains systèmes d’IA à haut risque. Cette analyse vise à identifier, prévenir et atténuer les risques pour les droits fondamentaux et doit être notifiée aux autorités compétentes.

Section 4 – Autorités notifiantes et organismes notifiés

  • Article 28 – Autorités notifiantes

    Chaque État membre désigne une ou plusieurs autorités notifiantes pour évaluer, notifier et contrôler les organismes d’évaluation de la conformité (OEC), en garantissant leur impartialité, compétence et confidentialité, avec un personnel qualifié en IA, TIC et droit.

  • Article 29 – Demande de notification d’un organisme d’évaluation de la conformité

    Les organismes d’évaluation de la conformité soumettent une demande à l’autorité notifiante avec description de leurs activités, certificats d’accréditation ou preuves documentaires, et doivent mettre à jour les documents en cas de changement.

  • Article 30 – Procédure de notification

    L’autorité notifiante notifie les OEC (organismes d’évaluation de la conformité) conformes à l’article 31 à la Commission et aux États membres, qui disposent d’un délai pour formuler des objections avant que l’OEC ne commence ses activités.

  • Article 31 – Exigences concernant les organismes notifiés

    Les OEC (organismes d’évaluation de la conformité) doivent être juridiquement constitués, indépendants, compétents, organisés et assurer l’impartialité, la confidentialité, la cybersécurité et la participation aux activités de normalisation et de coordination européenne.

  • Article 32 – Présomption de conformité

    Un organisme d’évaluation de la conformité qui respecte les normes harmonisées publiées au JOUE est présumé remplir les exigences de l’article 31.

  • Article 33 – Filiales et sous-traitance

    Les organismes d’évaluation de la conformité restent responsables des tâches réalisées par leurs filiales ou sous-traitants, qui doivent aussi respecter les exigences, avec accord du fournisseur et documentation conservée cinq ans.

  • Article 34 – Obligations opérationnelles

    Les organismes d’évaluation de la conformité doivent vérifier la conformité des systèmes IA à haut risque, minimiser les charges administratives pour les fournisseurs (notamment PME) et fournir toute documentation à l’autorité notifiante pour contrôle.

  • Article 35 – Numéros d’identification et listes

    La Commission attribue un numéro unique à chaque organismes d’évaluation de la conformité et publie une liste publique de tous les organismes notifiés avec leurs activités.

  • Article 36 – Modifications apportées aux notifications

    Tout changement dans la notification doit être signalé à la Commission et aux États membres, et en cas de manquement ou de cessation, la désignation peut être restreinte, suspendue ou retirée, avec mesures pour préserver les certificats existants.

  • Article 37 – Contestation de la compétence

    La Commission peut enquêter sur la compétence ou la conformité continue d’un organisme d’évaluation de la conformité, demander des mesures correctives à l’État membre, et suspendre ou retirer la désignation si nécessaire.

  • Article 38 – Coordination des organismes notifiés

    La Commission assure la coordination entre organisme d’évaluation de la conformité pour les systèmes IA à haut risque via des groupes sectoriels, avec échange de connaissances et bonnes pratiques.

  • Article 39 – Organismes d’évaluation de pays tiers

    Les organismes d’évaluation de la conformité de pays tiers peuvent être autorisés à exercer comme organismes notifiés si leur niveau de compétence et d’exigences est équivalent à celui de l’UE.

Section 5 – Normes, évaluation de la conformité, certificats, enregistrement

  • Article 40 – Normes harmonisées et travaux de normalisation

    Les systèmes d’IA conformes à des normes harmonisées publiées au JOUE sont présumés conformes aux exigences légales. La Commission demande la création de nouvelles normes pour couvrir toutes les exigences et veille à ce que ces normes favorisent innovation, sécurité juridique, compétitivité et alignement avec les normes internationales.

  • Article 41 – Spécifications communes

    La Commission peut établir des spécifications communes lorsque les normes harmonisées ne couvrent pas suffisamment les exigences. Les systèmes conformes à ces spécifications sont présumés conformes, et les fournisseurs doivent justifier toute solution technique alternative équivalente.

  • Article 42 – Présomption de conformité avec certaines exigences

    Les systèmes d’IA à haut risque formés sur des données adaptées à leur contexte ou certifiés dans le cadre de schémas de cybersécurité sont présumés conformes aux exigences pertinentes, notamment en cybersécurité et sécurité contextuelle.

  • Article 43 – Évaluation de la conformité

    Les fournisseurs doivent démontrer la conformité de leurs systèmes IA à haut risque via contrôle interne ou avec intervention d’un organisme notifié selon le type de système. Toute modification substantielle nécessite une nouvelle évaluation, et la Commission peut mettre à jour les procédures d’évaluation.

  • Article 44 – Certificats

    Les certificats délivrés par les organismes notifiés sont limités dans le temps (4-5 ans selon le type de système), et peuvent être prolongés après réévaluation. Les certificats peuvent être suspendus ou retirés si le système n’est plus conforme, avec possibilité de recours.

  • Article 45 – Obligations d’information des organismes notifiés

    Les organismes notifiés doivent informer l’autorité notifiante et les autres organismes des certificats délivrés, refusés, suspendus ou retirés, ainsi que de tout événement affectant leur notification, tout en garantissant la confidentialité.

  • Article 46 – Dérogation à la procédure d’évaluation de la conformité

    Les autorités peuvent autoriser temporairement l’usage d’un système IA à haut risque pour raisons exceptionnelles (sécurité publique, santé, environnement) même si la conformité n’est pas encore évaluée, sous contrôle et notification à la Commission et aux États membres.

  • Article 47 – Déclaration UE de conformité

    Le fournisseur établit une déclaration UE de conformité pour chaque système IA à haut risque, conservée 10 ans et accessible aux autorités nationales, attestant le respect des exigences légales et intégrant toutes les législations applicables.

  • Article 48 – Marquage CE

    Le marquage CE, physique ou numérique, doit être visible et indélébile pour les systèmes IA à haut risque. Il indique l’organisme notifié responsable et, le cas échéant, la conformité aux autres législations de l’UE.

  • Article 49 – Enregistrement

    Les fournisseurs et déployeurs doivent enregistrer leurs systèmes IA à haut risque dans la base de données de l’UE avant mise sur le marché ou mise en service, avec certaines informations sécurisées pour les systèmes sensibles dans le domaine de la sécurité et de la migration.

Les systèmes d’IA à haut risque : êtes-vous concerné ?
Après lecture de ce chapitre, une question revient souvent : mon organisation entre-t-elle dans le champ des obligations renforcées de l’IA Act ?
Échanger avec un expert – 15 minutes

Chapitre IV – Obligations de transparence pour les fournisseurs et les déployeurs de certains systèmes d’IA

  • Article 50 – Obligations de transparence pour les fournisseurs et déployeurs de certains systèmes d’IA

    Les fournisseurs doivent informer les personnes qu’elles interagissent avec une IA et marquer les contenus générés ou manipulés par une IA, sauf exceptions légales (ex. prévention de crimes). Les déployeurs de systèmes de reconnaissance émotionnelle ou biométrique doivent informer les personnes et respecter le RGPD. Les informations doivent être claires dès la première interaction, et la Commission peut établir des codes de bonne pratique ou règles communes pour faciliter la mise en œuvre.

Chapitre V – Modèle d’IA à usage général

Section 1 – Règles de classification

  • Article 51 – Classification des modèles d’IA à usage général présentant un risque systémique

    Un modèle d’IA à usage général est considéré comme présentant un risque systémique s’il a des capacités à fort impact ou si la Commission le désigne ainsi. Une présomption s’applique si le modèle utilise une très grande quantité de calcul (>10²⁵ opérations flottantes). La Commission peut ajuster ces seuils et critères via des actes délégués.

  • Article 52 – Procédure de notification et de désignation

    Les fournisseurs doivent informer la Commission si leur modèle remplit les critères de risque systémique. La Commission peut confirmer, rejeter ou désigner un modèle comme présentant un risque systémique, y compris d’office ou après alerte scientifique. Les fournisseurs peuvent demander une réévaluation et la Commission publie une liste mise à jour de ces modèles, tout en protégeant les informations confidentielles.

Section 2 – Obligations incombant aux fournisseurs de modèles d’IA à usage général

  • Article 53 – Obligations des fournisseurs de modèles d’IA à usage général

    Les fournisseurs doivent documenter le modèle (entraînement, tests, résultats), informer les intégrateurs sur ses capacités et limites, respecter le droit d’auteur et publier un résumé du contenu d’entraînement. Les obligations sont adaptées pour les modèles open-source, mais les modèles présentant un risque systémique restent pleinement soumis. La Commission peut préciser les méthodes et mettre à jour les annexes.

  • Article 54 – Mandataires des fournisseurs de modèles d’IA à usage général

    Les fournisseurs situés hors de l’UE doivent désigner un mandataire dans l’Union pour assurer le respect des obligations, fournir la documentation technique, coopérer avec le Bureau de l’IA et servir d’interlocuteur. Les modèles open-source sont exemptés, sauf s’ils présentent un risque systémique.

Section 3 – Obligations incombant aux fournisseurs de modèle d’IA à usage général présentant un risque systémique

  • Article 55 – Obligations des fournisseurs de modèles d’IA à usage général présentant un risque systémique

    Les fournisseurs doivent évaluer et atténuer les risques systémiques, documenter les essais et incidents graves, et assurer la cybersécurité du modèle et de son infrastructure. Ils peuvent s’appuyer sur des codes de bonne pratique ou normes harmonisées pour démontrer leur conformité. Toutes les informations obtenues restent confidentielles.

Section 4 – Code de bonnes pratiques

  • Article 56 – Codes de bonne pratique

    Le Bureau de l’IA encourage et supervise l’élaboration de codes de bonne pratique pour aider les fournisseurs à respecter les obligations des articles 53 et 55, notamment sur la documentation, l’évaluation et la gestion des risques systémiques. Ces codes impliquent la participation des parties prenantes, fixent des objectifs et indicateurs de performance, et peuvent être approuvés par la Commission pour valider leur application au niveau de l’Union.

Chapitre VI – Mesures de soutien à l’innovation

  • Article 57 – Bacs à sable réglementaires de l’IA

    Chaque État membre doit mettre en place au moins un bac à sable pour tester des IA innovantes avant leur mise sur le marché, favorisant l’innovation, la conformité réglementaire et la coopération transfrontière.

  • Article 58 – Fonctionnement des bacs à sable

    La Commission définit les modalités détaillées pour l’accès, la sélection, la durée et les conditions des bacs à sable, garantissant transparence, équité et soutien aux PME et jeunes pousses.

  • Article 59 – Données personnelles dans les bacs à sable

    Les données personnelles peuvent être utilisées uniquement pour le développement d’IA d’intérêt public, dans un environnement sécurisé et isolé, avec suppression après usage et mécanismes de protection des droits des personnes.

  • Article 60 – Essais en conditions réelles hors bacs à sable

    Les systèmes d’IA à haut risque peuvent être testés en conditions réelles avec plan approuvé, durée limitée, consentement des participants et supervision par l’autorité nationale.

  • Article 61 – Consentement éclairé

    Les participants aux essais en conditions réelles doivent donner un consentement libre et éclairé, documenté et réversible, après avoir reçu des informations claires sur les essais.

  • Article 62 – Mesures en faveur des PME et jeunes pousses

    Les PME et jeunes pousses bénéficient d’un accès prioritaire aux bacs à sable, d’orientations, de formations et d’une réduction des frais liés à l’évaluation de conformité.

  • Article 63 – Dérogations pour micro entreprises

    Les microentreprises peuvent simplifier certains éléments du système de gestion de la qualité, sans être dispensées de respecter les autres obligations du règlement.

Chapitre VII – Gouvernance

Section 1 – Gouvernance au niveau de l’Union

  • Article 64 – Bureau de l’IA

    La Commission développe l’expertise et les capacités de l’UE en matière d’IA via le Bureau de l’IA, appuyé par les États membres.

  • Article 65 – Comité européen de l’IA

    Création du Comité IA avec un représentant par État membre pour coordonner, harmoniser et superviser l’application du règlement et ses sous-groupes spécialisés.

  • Article 66 – Tâches du Comité IA

    Le Comité IA conseille la Commission et les États membres sur la cohérence, la surveillance, les bacs à sable, les essais, les alertes et l’harmonisation des pratiques en IA.

  • Article 67 – Forum consultatif

    Un forum consultatif fournit une expertise technique indépendante, conseille le Comité IA et la Commission, inclut des parties prenantes variées, et publie un rapport annuel.

  • Article 68 – Groupe scientifique d’experts indépendants

    La Commission crée un groupe d’experts pour soutenir la surveillance, évaluer les risques systémiques, développer des outils méthodologiques et conseiller le Bureau de l’IA.

  • Article 69 – Accès des États membres au groupe scientifique

    Les États membres peuvent solliciter les experts du groupe scientifique pour les aider dans le contrôle de l’application du règlement, avec éventuellement des frais organisés par la Commission.

Section 2 – Autorités nationales compétentes

  • Article 70 – Autorités nationales compétentes et points de contact uniques

    Chaque État membre désigne au moins une autorité notifiante et une autorité de surveillance du marché, indépendantes et impartiales, avec les ressources techniques, humaines et financières nécessaires.

Chapitre VIII – Base de données de l’UE pour les systèmes d’IA à haut risque

  • Article 71 – Base de données de l’UE pour les systèmes d’IA à haut risque

    La Commission, avec les États membres, crée et maintient une base de données regroupant les informations sur les systèmes d’IA à haut risque et certains systèmes non à haut risque. Les fournisseurs et déployeurs y enregistrent les données requises, dont certaines sont publiques et consultables, tandis que d’autres restent accessibles uniquement aux autorités.

Chapitre IX – Surveillance après commercialisation, partage d’informations et surveillance du marché

Section 1 – Surveillance après commercialisation

  • Article 72 – Surveillance après commercialisation

    Les fournisseurs doivent mettre en place un système de surveillance après commercialisation adapté aux risques du système d’IA à haut risque. Ce système collecte et analyse activement les données sur les performances du système tout au long de son cycle de vie pour vérifier le respect continu des exigences réglementaires.

Section 2 – Partage d’informations sur les incidents graves

  • Article 73 – Signalement d’incidents graves

    Les fournisseurs de systèmes d’IA à haut risque doivent signaler tout incident grave aux autorités de surveillance du marché des États membres concernés, immédiatement après avoir identifié un lien de causalité, avec des délais spécifiques pour les incidents majeurs ou entraînant un décès.

Section 3 – Contrôle de l’application

  • Article 74 – Surveillance du marché

    Les autorités de surveillance du marché contrôlent les systèmes d’IA, y compris à haut risque, avec accès à documentation, données et code source si nécessaire, et coordonnent avec d’autres autorités nationales et la Commission.

  • Article 75 – IA à usage général

    Le Bureau de l’IA peut superviser les modèles d’IA à usage général et coopérer avec les autorités de marché pour vérifier la conformité des systèmes qui en découlent.

  • Article 76 – Essais en conditions réelles

    Les autorités de marché peuvent vérifier et suspendre les essais en conditions réelles si les règles ne sont pas respectées et informer les autres États membres.

  • Article 77 – Protection des droits fondamentaux

    Les autorités de protection des droits fondamentaux peuvent accéder à la documentation des systèmes d’IA à haut risque et demander des tests si nécessaire, en coopération avec les autorités de marché.

  • Article 78 – Confidentialité

    Toutes les informations collectées par les autorités et la Commission doivent rester confidentielles, protégées et utilisées uniquement pour évaluer les risques et vérifier la conformité.

  • Article 79 – Procédure nationale pour systèmes à risque

    Les autorités évaluent les systèmes d’IA présentant un risque, imposent des mesures correctives, retirent ou restreignent les systèmes non conformes et informent la Commission et les autres États membres.

  • Article 80 – Systèmes classés « non à haut risque »

    Si un système classé « non à haut risque » s’avère en réalité à haut risque, l’autorité impose des mesures correctives et peut infliger des amendes si le fournisseur a tenté de contourner les règles.

  • Article 81 – Procédure de sauvegarde de l’UE

    La Commission peut intervenir si une mesure nationale est contestée ou contraire au droit de l’UE et décide de sa justification, en coordonnant les actions des États membres.

  • Article 82 – Systèmes conformes mais présentant un risque

    Même conformes, les systèmes présentant un risque pour la santé, la sécurité ou les droits fondamentaux peuvent nécessiter des mesures correctives imposées par les autorités, avec information à la Commission.

  • Article 83 – Non-conformité formelle

    Si le marquage CE, la déclaration UE de conformité, l’enregistrement ou la documentation technique est manquant ou incorrect, l’autorité impose des corrections ou retire le système du marché.

  • Article 84 – Structures de soutien de l’UE pour les essais IA

    La Commission désigne des structures pour soutenir les essais en IA et fournir des avis techniques ou scientifiques aux autorités et au Comité IA.

Section 4 – Voies de recours

  • Article 85 – Réclamation auprès d’une autorité de surveillance du marché

    Toute personne peut déposer une réclamation si elle estime qu’une violation du règlement a eu lieu ; l’autorité de surveillance du marché la traite selon ses procédures.

  • Article 86 – Droit à l’explication des décisions individuelles

    Les personnes affectées par des décisions d’un système d’IA à haut risque ont le droit d’obtenir des explications claires sur le rôle de l’IA et les éléments principaux de la décision, sauf exceptions prévues par le droit de l’UE ou national.

  • Article 87 – Signalement de violations et protection des lanceurs d’alerte

    Les règles de la directive (UE) 2019/1937 s’appliquent aux signalements de violations du règlement et garantissent la protection des lanceurs d’alerte.

Section 5 – Surveillance, enquêtes, contrôle de l’application et contrôle concernant les fournisseurs de modèles d’IA à usage général

  • Article 88 – Contrôle des obligations des fournisseurs de modèles d’IA à usage général

    La Commission, via le Bureau de l’IA, surveille et contrôle le respect des obligations des fournisseurs de modèles d’IA à usage général. Les autorités de surveillance peuvent lui demander d’agir si nécessaire.

  • Article 89 – Mesures de contrôle

    Le Bureau de l’IA peut prendre toutes mesures nécessaires pour vérifier la conformité des fournisseurs et leur adhésion aux codes de bonne pratique ; les fournisseurs en aval peuvent signaler des violations.

  • Article 90 – Alertes de risques systémiques

    Le groupe scientifique peut alerter le Bureau de l’IA sur un modèle présentant un risque systémique, déclenchant l’évaluation et les actions nécessaires par la Commission.

  • Article 91 – Demande de documentation et d’informations

    La Commission peut exiger des fournisseurs toute documentation ou information pour évaluer la conformité, avec mentions de base juridique, délais et sanctions en cas d’informations inexactes.

  • Article 92 – Évaluations

    Le Bureau de l’IA peut procéder à des évaluations, y compris via des experts indépendants, pour vérifier la conformité ou enquêter sur les risques systémiques, en demandant accès au modèle ou au code source.

  • Article 93 – Demande de mesures

    La Commission peut exiger des fournisseurs de prendre des mesures correctives, d’atténuer les risques systémiques ou de retirer ou restreindre le modèle du marché ; les engagements volontaires peuvent être rendus contraignants.

  • Article 94 – Droits procéduraux des opérateurs

    Les droits procéduraux des fournisseurs de modèles d’IA à usage général s’appliquent selon l’article 18 du règlement 2019/1020, complétés par les droits spécifiques du présent règlement.

Chapitre X – Codes de conduite et lignes directrices

  • Article 95 – Codes de conduite pour l’application volontaire

    Le Bureau de l’IA et les États membres encouragent la création de codes de conduite pour appliquer volontairement certaines exigences sur les systèmes d’IA non à haut risque, en intégrant bonnes pratiques, durabilité, inclusion, éthique et protection des personnes vulnérables. Ces codes peuvent être élaborés par des fournisseurs, déployeurs, organisations représentatives ou parties prenantes, en tenant compte des besoins spécifiques des PME et startups.

  • Article 96 – Lignes directrices de la Commission

    La Commission élabore des lignes directrices pour l’application pratique du règlement, notamment sur les exigences, pratiques interdites, modifications substantielles et transparence. Ces lignes directrices tiennent compte de l’état de l’art, des normes harmonisées et des besoins des PME, et peuvent être mises à jour à la demande ou d’initiative de la Commission.

Chapitre XI – Délégation de pouvoir et procédure de comité

  • Article 97 – Exercice de la délégation

    La Commission peut adopter des actes délégués pour certaines dispositions pendant 5 ans à partir du 1er août 2024, avec possibilité de prorogation tacite sauf objection du Parlement ou du Conseil. La délégation peut être révoquée à tout moment. Avant adoption, la Commission consulte les experts des États membres et notifie simultanément le Parlement et le Conseil. L’acte délégué entre en vigueur seulement si aucun des deux ne s’oppose dans un délai de trois mois.

  • Article 98 – Comité

    La Commission est assistée par un comité au sens du règlement (UE) 182/2011, qui sert de structure consultative pour l’adoption et la mise en œuvre des actes.

Chapitre XII – Sanctions

  • Article 99 – Sanctions (États membres)

    Les États membres définissent des sanctions pour les violations du règlement, qui doivent être effectives, proportionnées et dissuasives. Les amendes varient selon la gravité : jusqu’à 35 M€ ou 7 % du chiffre d’affaires pour les violations de l’article 5, et jusqu’à 15 M€ ou 3 % pour d’autres obligations. Les PME ont des montants réduits. La décision prend en compte la gravité, la coopération et la responsabilité de l’opérateur. Les États membres rapportent chaque année à la Commission.

  • Article 100 – Amendes pour institutions de l’Union

    Le Contrôleur européen de la protection des données peut infliger des amendes aux institutions, organes et organismes de l’UE : jusqu’à 1,5 M€ pour l’article 5 et 750 000 € pour d’autres violations. La procédure respecte les droits de la défense et les fonds collectés vont au budget de l’UE. Le Contrôleur informe la Commission annuellement.

  • Article 101 – Amendes pour fournisseurs de modèles d’IA à usage général

    La Commission peut sanctionner les fournisseurs jusqu’à 3 % de leur chiffre d’affaires annuel mondial ou 15 M€ pour : violations du règlement, refus de fournir des informations, non-respect des mesures demandées ou refus d’accès aux modèles. Les amendes doivent être effectives, proportionnées et dissuasives. Les fournisseurs sont entendus avant décision, et la Cour de justice peut être saisie pour recours.

Chapitre XIII – Dispositions finales

  • Article 102 – Modification du règlement (CE) no 300/2008

    Le règlement 300/2008 est modifié pour que toutes les mesures techniques et procédures d’approbation liées aux équipements de sûreté intégrant des systèmes d’IA respectent les exigences du règlement IA 2024/1689.

  • Article 103 – Modification du règlement (UE) no 167/2013

    Les actes délégués concernant les composants de sécurité intégrant de l’IA doivent tenir compte des exigences du règlement IA 2024/1689.

  • Article 104 – Modification du règlement (UE) no 168/2013

    Les actes délégués relatifs aux composants de sécurité IA sont alignés sur les exigences du règlement IA 2024/1689.

  • Article 105 – Modification de la directive 2014/90/UE

    La Commission doit prendre en compte les exigences du règlement IA lors de l’élaboration de spécifications techniques et normes d’essai pour les composants de sécurité intégrant de l’IA.

  • Article 106 – Modification de la directive (UE) 2016/797

    Les actes délégués et d’exécution pour les systèmes IA constituant des composants de sécurité doivent respecter les exigences du règlement IA 2024/1689.

  • Article 107 – Modification du règlement (UE) 2018/858

    Les actes délégués relatifs aux composants de sécurité IA dans ce règlement doivent se conformer aux exigences du règlement IA.

  • Article 108 – Modifications du règlement (UE) 2018/1139

    Plusieurs articles sont modifiés pour garantir que tous les actes délégués ou d’exécution concernant des composants de sécurité IA respectent les exigences du règlement IA 2024/1689.

  • Article 109 – Modification du règlement (UE) 2019/2144

    Les actes d’exécution concernant les composants de sécurité IA doivent se conformer aux exigences du règlement IA 2024/1689.

  • Article 110 – Modification de la directive (UE) 2020/1828

    Une référence au règlement IA 2024/1689 est ajoutée dans l’annexe I de la directive, pour l’intégration des exigences IA.

  • Article 111 – Systèmes d’IA déjà mis sur le marché ou modèles d’IA à usage général déjà mis sur le marché

    Fixe les dates limites de mise en conformité pour les systèmes IA déjà sur le marché et les modèles IA à usage général, selon leur type et usage, avec le règlement IA 2024/1689.

  • Article 112 – Évaluation et réexamen

    La Commission évalue régulièrement l’application du règlement IA, met à jour les listes de systèmes et pratiques, contrôle l’efficacité de la surveillance et propose des modifications si nécessaire.

  • Article 113 – Entrée en vigueur et application

    Le règlement entre en vigueur 20 jours après sa publication et s’applique progressivement à partir du 2 août 2026, avec certaines dispositions anticipées en 2025 et 2027.

L’IA peut sembler complexe à appliquer en pratique.

L’équipe de DPO externe de Mon Expert RGPD accompagne les entreprises et associations dans la mise en conformité à l’IA Act, en lien avec leurs usages réels de l’intelligence artificielle.

Rédacteur : Dominique Bretagne

Rédacteur : Dominique Bretagne

Désignée Correspondante Informatique et Libertés (CIL) auprès de la CNIL dès 2009, Dominique X accompagne depuis plus de 15 ans les organisations sur les enjeux de protection des données et de conformité réglementaire.
Avocat de formation, elle est fondatrice de l’association APACIL et exerce en tant que Déléguée à la protection des données (DPO) externe, certifiée par APAVE.

Profil LinkedIn

Menu IA Act

Articles disponibles : 1 à 27
En cours de publication

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.