Le Centre IA Act

Le règlement établit des règles harmonisées pour le développement, la mise sur le marché et l'utilisation des systèmes d'intelligence artificielle dans l'Union européenne.

S'applique aux fournisseurs et déployeurs de systèmes d'IA dans l'UE, ainsi qu'aux systèmes dont les résultats sont utilisés dans l'Union.

Définit les termes clés du règlement : système d'IA, fournisseur, déployeur, utilisation prévue, risque raisonnable, données sensibles, etc.

Établit le principe selon lequel les systèmes d'IA doivent être utilisés dans le respect des valeurs de l'Union et sous supervision humaine appropriée.

Interdit les systèmes d'IA qui manipulent le comportement, exploitent les vulnérabilités, pratiquent le scoring social ou l'identification biométrique en temps réel dans l'espace public.

Définit les critères de classification des systèmes d'IA à haut risque selon leur utilisation prévue et leurs risques potentiels pour la santé, la sécurité ou les droits fondamentaux.

Prévoit la procédure de modification de la liste des systèmes d'IA à haut risque par actes délégués de la Commission.

Établit que les systèmes d'IA à haut risque doivent être conformes aux exigences définies dans le chapitre III avant leur mise sur le marché.

Impose aux fournisseurs de mettre en place un système de gestion des risques continu tout au long du cycle de vie du système d'IA à haut risque.

Exige que les jeux de données d'entraînement, de validation et d'essai soient pertinents, représentatifs, exempts d'erreurs et complets pour l'usage prévu.

Requiert la création et la tenue à jour d'une documentation technique démontrant la conformité du système d'IA aux exigences du règlement.

Impose la conservation automatique de journaux d'événements (logs) permettant la traçabilité du fonctionnement du système d'IA pendant toute sa durée de vie.

Exige que les systèmes d'IA à haut risque soient conçus de manière à garantir un niveau de transparence suffisant permettant aux déployeurs de comprendre leur fonctionnement.

Requiert que les systèmes d'IA à haut risque soient conçus pour permettre une supervision humaine efficace afin de prévenir ou minimiser les risques.

Impose que les systèmes d'IA à haut risque atteignent un niveau approprié d'exactitude, de robustesse et de cybersécurité tout au long de leur cycle de vie.

Détaille les obligations générales des fournisseurs, notamment en matière de système de gestion de la qualité et de documentation.

Exige la mise en place d'un système de gestion de la qualité documenté garantissant la conformité aux exigences du règlement.

Impose la conservation de la documentation technique et des journaux pendant au moins 10 ans après la mise sur le marché.

Détaille les exigences relatives aux capacités de journalisation automatique des systèmes d'IA à haut risque.

Oblige les fournisseurs à prendre des mesures correctives immédiates si un système présente un risque et à en informer les autorités.

Impose aux fournisseurs de coopérer avec les autorités nationales et de leur fournir toutes les informations nécessaires.

Permet aux fournisseurs établis hors de l'UE de désigner un représentant autorisé dans l'Union pour assurer la conformité.

Détaille les obligations des importateurs introduisant des systèmes d'IA à haut risque sur le marché de l'UE.

Spécifie les responsabilités des distributeurs qui mettent à disposition des systèmes d'IA sans les mettre sur le marché.

Clarifie la répartition des responsabilités entre fournisseurs, déployeurs, distributeurs et importateurs.

Définit les obligations des organismes utilisant des systèmes d'IA à haut risque sous leur propre autorité.

Requiert une analyse d'impact avant le déploiement de systèmes d'IA à haut risque susceptibles d'affecter les droits fondamentaux.

Impose le signalement rapide aux autorités de tout incident grave impliquant un système d'IA à haut risque.

Définit le rôle et les responsabilités des autorités nationales chargées de désigner les organismes notifiés.

Établit les critères d'indépendance, de compétence et d'impartialité que doivent respecter les organismes notifiés.

Définit la procédure de demande de désignation en tant qu'organisme notifié auprès de l'autorité notifiante nationale.

Détaille le processus de notification des organismes d'évaluation de la conformité auprès de la Commission et des États membres.

Organise l'attribution de numéros d'identification uniques aux organismes notifiés et la publication de listes officielles.

Encadre les conditions dans lesquelles les organismes notifiés peuvent sous-traiter certaines tâches d'évaluation de la conformité.

Définit les responsabilités opérationnelles des organismes notifiés dans l'évaluation de la conformité des systèmes d'IA.

Prévoit la procédure de modification, suspension ou retrait de la notification d'un organisme notifié.

Établit le mécanisme permettant de contester la compétence ou les actions d'un organisme notifié.

Organise la coordination et l'échange d'informations entre organismes notifiés pour harmoniser leurs pratiques.

Prévoit la possibilité de reconnaissance des organismes d'évaluation établis dans des pays tiers sous certaines conditions.

Établit que la conformité aux normes harmonisées crée une présomption de conformité aux exigences du règlement.

Permet à la Commission d'adopter des spécifications communes en l'absence de normes harmonisées.

Reconnaît certaines certifications et labels de sécurité comme moyens de démontrer la conformité.

Définit les procédures d'évaluation de la conformité applicables aux systèmes d'IA à haut risque.

Précise les modalités de délivrance, de durée et de renouvellement des certificats de conformité.

Impose aux organismes notifiés d'informer l'autorité notifiante de certains événements significatifs.

Prévoit des cas exceptionnels de dérogation aux procédures d'évaluation pour des raisons d'intérêt public.

Définit le contenu et les modalités d'établissement de la déclaration UE de conformité par les fournisseurs.

Établit les règles d'apposition du marquage CE sur les systèmes d'IA à haut risque conformes.

Impose l'enregistrement de tous les systèmes d'IA à haut risque dans la base de données européenne.

Impose des obligations de transparence spécifiques pour certains systèmes d'IA, notamment ceux générant du contenu artificiel (deepfakes) ou interagissant avec des personnes.

Définit les critères de classification des modèles d'IA à usage général et identifie ceux présentant des risques systémiques.

Établit les obligations pour les fournisseurs de modèles comme GPT, Claude ou Gemini : documentation technique, politique de respect du droit d'auteur, résumé des données d'entraînement.

Impose des obligations renforcées pour les modèles les plus puissants : évaluation des risques systémiques, tests contradictoires, incidents graves, cybersécurité.

Prévoit l'élaboration de codes de bonnes pratiques sectoriels pour faciliter la conformité avec les obligations du règlement.

Détaille les obligations supplémentaires pour les modèles d'IA présentant un risque systémique.

Encourage l'adoption de codes de conduite volontaires pour les fournisseurs de modèles d'IA à usage général.

Permet aux États membres d'établir des environnements contrôlés (sandbox) pour tester des systèmes d'IA innovants avant leur mise sur le marché.

Définit les modalités de fonctionnement, la durée, les objectifs et les conditions de participation aux bacs à sable réglementaires.

Précise les conditions dans lesquelles les données personnelles peuvent être traitées dans le cadre des bacs à sable en conformité avec le RGPD.

Autorise les essais de systèmes d'IA en conditions réelles sous surveillance des autorités compétentes et avec le consentement des participants.

Définit les règles et conditions pour mener des tests en situation réelle de systèmes d'IA innovants.

Précise les garanties et exigences applicables aux tests en conditions réelles.

Prévoit des mesures spécifiques d'accompagnement pour les petites et moyennes entreprises et les startups.

Crée le Bureau européen de l'IA au sein de la Commission pour superviser la mise en œuvre du règlement et coordonner les actions.

Établit un comité composé de représentants des États membres pour assurer une application harmonisée du règlement.

Crée un forum consultatif rassemblant des parties prenantes (industrie, recherche, société civile) pour conseiller le Bureau de l'IA.

Constitue un panel d'experts scientifiques indépendants pour fournir des conseils techniques au Bureau de l'IA.

Garantit que les États membres disposent de ressources suffisantes pour mettre en œuvre efficacement le règlement.

Encourage l'adoption de codes de conduite volontaires pour les systèmes d'IA non soumis à des exigences obligatoires.

Impose à chaque État membre de désigner des autorités de surveillance et de marché pour l'application du règlement sur son territoire.

Crée une base de données européenne publique recensant tous les systèmes d'IA à haut risque mis sur le marché dans l'Union.

Exige que les fournisseurs établissent un système de surveillance continue pour identifier et traiter les risques émergents.

Impose le signalement immédiat aux autorités de tout incident grave impliquant un système d'IA à haut risque.

Établit le cadre général de la surveillance du marché pour les systèmes d'IA dans l'Union européenne.

Organise la coopération entre les autorités de surveillance du marché des différents États membres.

Définit les pouvoirs et modalités de contrôle des systèmes d'IA par les autorités de surveillance du marché.

Établit les pouvoirs spécifiques des autorités concernant les modèles d'IA à usage général.

Établit les règles de confidentialité applicables aux informations recueillies par les autorités.

Établit la procédure à suivre lorsqu'une autorité constate qu'un système d'IA présente un risque.

Établit la procédure de coordination au niveau de l'Union pour les systèmes d'IA dangereux.

Traite du cas des systèmes d'IA conformes mais présentant néanmoins un risque.

Traite des non-conformités formelles des systèmes d'IA.

Définit le cadre de désignation des autorités nationales compétentes pour l'application du règlement.

Impose à chaque État membre de désigner un point de contact unique pour l'IA.

Impose aux États membres de doter leurs autorités compétentes des ressources nécessaires.

Établit des obligations d'information du public concernant l'utilisation de certains systèmes d'IA.

Impose aux autorités nationales de publier un rapport annuel sur leurs activités de surveillance.

Établit une base de données européenne centralisée pour l'enregistrement des systèmes d'IA à haut risque.

Établit le régime des sanctions administratives applicables en cas de non-conformité au règlement.

Définit les garanties procédurales applicables aux sanctions administratives.

Protège les personnes qui signalent des violations du règlement aux autorités compétentes.

Garantit le droit à l'indemnisation pour les personnes ayant subi un dommage du fait d'une violation du règlement.

Permet aux associations de défense des droits d'agir collectivement contre les violations de l'AI Act.

Prévoit une évaluation régulière du règlement par la Commission européenne.

Encourage l'adoption volontaire de codes de conduite pour les systèmes d'IA ne présentant pas de haut risque.

Définit les modalités d'exercice des pouvoirs délégués à la Commission européenne par le règlement.

Définit les modalités d'exercice par la Commission des pouvoirs délégués pour adapter certaines dispositions du règlement.

Établit la procédure d'examen applicable lorsque la Commission adopte des actes d'exécution.

Établit le cadre général des sanctions applicables en cas de non-conformité au règlement.

Fixe les montants des amendes : jusqu'à 35M€ ou 7% du CA pour les pratiques interdites, 15M€ ou 3% pour les systèmes à haut risque, 7,5M€ ou 1,5% pour les autres violations.

Adapte le régime de sanctions pour les institutions, organes et organismes de l'Union européenne.

Organise l'entrée en vigueur progressive du règlement, permettant aux opérateurs de s'adapter.

Clarifie les règles d'application dans le temps du règlement.

Identifie les textes juridiques antérieurs abrogés ou modifiés par l'entrée en vigueur de l'AI Act.

Apporte des modifications ciblées à la législation sectorielle européenne pour l'harmoniser avec le nouveau cadre.

Encourage la coopération internationale de l'Union européenne en matière de réglementation de l'IA.

Prévoit des mécanismes de révision permettant d'adapter le règlement aux évolutions technologiques.

Impose à la Commission européenne de publier un rapport annuel sur l'application du règlement.

Engage l'Union européenne et les États membres à soutenir activement l'innovation en IA.

Détermine la date d'entrée en vigueur du règlement et son calendrier d'application progressive.

Modifie certains actes législatifs existants pour assurer la cohérence avec le règlement IA.

Le règlement entre en vigueur le vingtième jour suivant sa publication au Journal officiel (août 2024).

Définit le calendrier d'application progressive : pratiques interdites (février 2025), modèles d'IA généraux (août 2025), dispositions complètes (août 2026).