L'article 2 du Règlement (UE) 2024/1689 définit précisément le champ d'application du règlement européen sur l'intelligence artificielle. Cette disposition détermine qui est concerné par l'AI Act, dans quelles circonstances, et quelles sont les exclusions expressément prévues par le législateur européen. Il s'agit d'un article fondamental qui établit les frontières de la régulation européenne de l'IA.
Cet article consacre le principe d'application extraterritoriale du règlement : l'AI Act s'applique non seulement aux acteurs établis dans l'Union européenne, mais également à tous ceux qui, où qu'ils soient dans le monde, créent, utilisent, importent ou distribuent des systèmes d'IA produisant des effets sur le territoire de l'Union. Cette portée extraterritoriale rappelle celle du RGPD et affirme la volonté de l'UE de protéger ses citoyens contre les risques de l'IA, quelle que soit la localisation des opérateurs.
L'article 2 énumère également des exclusions importantes : les domaines de la défense, de la sécurité nationale, certaines formes de coopération internationale en matière de forces de l'ordre, et la recherche scientifique pure ne relèvent pas du champ d'application du règlement. Ces exceptions reflètent les limites des compétences de l'Union européenne et la nécessité de préserver certains espaces de souveraineté nationale et de liberté académique.
Texte officiel de l'article 2 de l'AI Act
L'article 2 de l'AI Act dispose (extraits principaux) :
Champ d'application
« 1. Le présent règlement s'applique :
a) aux fournisseurs mettant sur le marché ou mettant en service des systèmes d'IA dans l'Union, quel que soit le lieu d'établissement de ces fournisseurs ;
b) aux déployeurs de systèmes d'IA établis dans l'Union ;
c) aux fournisseurs et aux déployeurs de systèmes d'IA établis ou situés dans un pays tiers, lorsque les données de sortie produites par le système d'IA sont utilisées dans l'Union. »
« 2. Le présent règlement ne s'applique pas aux domaines qui ne relèvent pas du champ d'application du droit de l'Union et ne porte en aucun cas atteinte aux compétences des États membres en matière de sécurité nationale, quelle que soit la nature des entités chargées par les États membres d'exercer ces compétences.
Le présent règlement ne s'applique pas aux systèmes d'IA lorsqu'ils sont développés ou utilisés exclusivement à des fins militaires, de défense ou de sécurité nationale.
Le présent règlement ne s'applique pas aux autorités publiques dans un pays tiers ni aux organisations internationales dans le cadre d'accords de coopération internationale en matière de répression et de coopération judiciaire avec l'Union ou avec les États membres, à condition que ces pays tiers ou organisations internationales fournissent des garanties adéquates concernant la protection des droits fondamentaux et des libertés.
Le présent règlement ne s'applique pas aux systèmes d'IA lorsqu'ils sont mis sur le marché, mis en service ou utilisés exclusivement à des fins de recherche scientifique et de développement. »
Cet article établit donc une application large du règlement, incluant les acteurs extraterritoriaux, tout en prévoyant des exclusions ciblées pour préserver certains intérêts souverains et la liberté de recherche.
Analyse juridique de l'article 2
Application extraterritoriale : qui est concerné
L'article 2, paragraphe 1, établit un principe d'application extraterritoriale comparable à celui du RGPD. Le règlement s'applique à tous les fournisseurs qui mettent sur le marché ou mettent en service des systèmes d'IA dans l'Union européenne, quel que soit leur lieu d'établissement. Une entreprise américaine, chinoise ou indienne qui commercialise un système d'IA auprès de clients européens est donc soumise à l'AI Act au même titre qu'une entreprise française ou allemande.
Cette approche vise à garantir un niveau de protection uniforme pour tous les citoyens et organisations européens, indépendamment de la provenance géographique des systèmes d'IA. Elle empêche les stratégies de contournement consistant à développer des systèmes hors UE pour échapper à la régulation tout en bénéficiant du marché européen.
Le règlement s'applique également aux déployeurs établis dans l'Union : toute organisation européenne qui utilise un système d'IA dans le cadre de ses activités professionnelles est soumise aux obligations spécifiques des déployeurs, même si le système a été développé par un tiers établi hors UE. Enfin, même les fournisseurs et déployeurs établis dans un pays tiers sont concernés lorsque les données de sortie produites par leurs systèmes sont utilisées dans l'Union, garantissant ainsi une protection maximale du territoire européen.
Exclusions relatives à la sécurité nationale et à la défense
L'article 2, paragraphe 2, prévoit plusieurs exclusions importantes. La première concerne les domaines militaires, de défense et de sécurité nationale. Le règlement affirme explicitement qu'il « ne porte en aucun cas atteinte aux compétences des États membres en matière de sécurité nationale » et qu'il ne s'applique pas aux systèmes d'IA développés ou utilisés exclusivement à ces fins.
Cette exclusion reflète le principe général du droit de l'Union selon lequel la sécurité nationale relève de la responsabilité exclusive des États membres (article 4, paragraphe 2, du Traité sur l'Union européenne). Les systèmes d'IA utilisés par les forces armées, les services de renseignement, ou pour des opérations de défense nationale échappent donc au champ d'application de l'AI Act.
Toutefois, cette exclusion doit être interprétée strictement : elle ne couvre que les systèmes utilisés exclusivement à des fins militaires ou de sécurité nationale. Un système d'IA développé initialement pour un usage militaire mais commercialisé également pour des applications civiles entre dans le champ du règlement pour sa partie civile. De même, les systèmes utilisés par des forces de police pour des missions de sécurité publique ordinaire (maintien de l'ordre, sécurité routière, police judiciaire) ne bénéficient pas de cette exclusion et restent soumis à l'AI Act.
Exclusion de la coopération internationale en matière judiciaire et policière
L'article 2 prévoit également que le règlement ne s'applique pas aux autorités publiques d'un pays tiers ni aux organisations internationales dans le cadre d'accords de coopération internationale en matière de répression et de coopération judiciaire avec l'Union ou les États membres. Cette exclusion vise notamment les échanges d'informations et la collaboration opérationnelle avec des services de police ou de justice de pays partenaires (États-Unis, Canada, Australie, etc.) ou avec des organisations internationales comme Interpol ou Europol.
Cette exclusion est toutefois conditionnée : elle ne s'applique qu'à condition que ces pays tiers ou organisations internationales « fournissent des garanties adéquates concernant la protection des droits fondamentaux et des libertés ». Cette exigence garantit que l'exclusion ne soit pas utilisée pour contourner les protections offertes par l'AI Act en transférant des traitements vers des juridictions offrant un niveau de protection insuffisant.
Exclusion de la recherche scientifique
L'article 2 exclut de son champ d'application les systèmes d'IA mis sur le marché, mis en service ou utilisés exclusivement à des fins de recherche scientifique et de développement. Cette exclusion vise à préserver la liberté académique et à ne pas entraver l'innovation et la recherche fondamentale en imposant des contraintes réglementaires disproportionnées à des travaux exploratoires.
L'exclusion ne s'applique toutefois qu'aux systèmes utilisés exclusivement pour la recherche. Dès qu'un système d'IA issu de la recherche est commercialisé, mis à disposition de tiers, ou utilisé dans des applications opérationnelles (diagnostic médical réel, aide à la décision administrative, etc.), il entre dans le champ d'application du règlement et doit respecter les obligations correspondantes.
Calendrier d'entrée en vigueur et d'application
L'AI Act est entré en vigueur le 1er août 2024, vingt jours après sa publication au Journal officiel de l'Union européenne le 12 juillet 2024. Toutefois, l'application du règlement se fait de manière échelonnée selon un calendrier précis :
Le 2 février 2025, les chapitres I et II sont entrés en application, interdisant les pratiques d'IA prohibées (article 5). À partir du 2 août 2025, les dispositions relatives à la gouvernance, aux modèles d'IA à usage général (GPAI) et aux sanctions sont applicables. Le 2 août 2026 marque l'application générale du règlement, avec l'ensemble des obligations pour les systèmes à haut risque. Enfin, le 2 août 2027, l'article 6, paragraphe 1, et les obligations correspondantes entrent en application pour certaines catégories spécifiques de systèmes.
Exemples concrets d'application
Exemple concret d'application de l'article 2 de l'AI Act
Cas 1 : Application extraterritoriale
Une entreprise américaine spécialisée en intelligence artificielle développe un système de reconnaissance faciale destiné au contrôle d'accès dans les entreprises. Ce système est hébergé sur des serveurs aux États-Unis mais commercialisé auprès de clients dans plusieurs pays, dont la France, l'Allemagne et l'Italie.
Au sens de l'article 2, paragraphe 1, point a), cette entreprise américaine est un « fournisseur mettant sur le marché des systèmes d'IA dans l'Union », quel que soit son lieu d'établissement. Elle est donc intégralement soumise à l'AI Act et doit respecter toutes les obligations applicables aux fournisseurs de systèmes à haut risque (le contrôle d'accès aux lieux de travail relevant potentiellement de l'Annexe III).
L'entreprise doit notamment réaliser une évaluation de conformité, établir une documentation technique complète, mettre en place un système de gestion de la qualité, et désigner un représentant autorisé établi dans l'Union européenne pour assurer le lien avec les autorités de surveillance.
Cas 2 : Exclusion pour usage militaire
Une entreprise européenne de défense développe un système d'IA de reconnaissance d'objectifs militaires à partir d'images satellites, destiné exclusivement aux forces armées françaises pour des missions de renseignement militaire. Ce système ne sera jamais commercialisé auprès d'acteurs civils.
Au sens de l'article 2, paragraphe 2, ce système est « développé ou utilisé exclusivement à des fins militaires » et entre donc dans l'exclusion prévue. L'AI Act ne s'applique pas à ce développement, qui relève de la compétence exclusive de l'État membre en matière de défense nationale.
Cas 3 : Recherche scientifique
Un laboratoire universitaire français développe un système expérimental d'IA générative pour la découverte de nouveaux médicaments. Ce système est utilisé uniquement dans le cadre de projets de recherche académique, les résultats sont publiés dans des revues scientifiques, mais le système n'est ni commercialisé ni utilisé pour des diagnostics ou prescriptions réels.
Au sens de l'article 2, paragraphe 2, dernier alinéa, ce système est utilisé « exclusivement à des fins de recherche scientifique et de développement » et bénéficie de l'exclusion. L'AI Act ne s'applique pas à ce stade.
Si toutefois le laboratoire décide ultérieurement de transférer cette technologie à une entreprise pharmaceutique pour un usage opérationnel, ou de la commercialiser sous forme de service, le système entre alors dans le champ d'application du règlement et doit se conformer aux exigences applicables.
Articulation avec les autres dispositions de l'AI Act
L'article 2 s'articule étroitement avec l'article 1 qui définit l'objet du règlement et l'article 3 qui établit les définitions essentielles. Ces trois articles forment le socle du champ d'application de l'AI Act : l'article 1 pose les finalités, l'article 2 détermine qui et quoi est concerné, et l'article 3 précise les notions clés permettant d'identifier les situations couvertes.
L'article 2 doit également être lu conjointement avec les articles 5 et 6 qui définissent respectivement les pratiques interdites et les systèmes à haut risque. La détermination du champ d'application territorial et matériel posée par l'article 2 conditionne l'applicabilité de ces interdictions et obligations.
L'article 2 s'articule enfin avec les dispositions relatives à la gouvernance et à l'application du règlement (Titres VI et VII), qui organisent la répartition des compétences entre autorités européennes et nationales pour superviser l'application du règlement aux différents acteurs couverts.
Implications pratiques pour les organisations
Pour les organisations, la compréhension de l'article 2 est essentielle car elle détermine si elles entrent ou non dans le champ d'application du règlement. Toute démarche de conformité doit commencer par cette analyse préliminaire : suis-je concerné par l'AI Act ?
Les fournisseurs de systèmes d'IA établis hors de l'Union européenne mais commercialisant leurs produits en Europe doivent intégrer que l'AI Act s'applique pleinement à leurs activités. Ils doivent désigner un représentant autorisé dans l'UE et mettre en place les procédures de conformité nécessaires, au même titre que les entreprises européennes.
Les déployeurs établis dans l'Union doivent vérifier systématiquement la conformité des systèmes d'IA qu'ils acquièrent et utilisent, qu'ils proviennent de fournisseurs européens ou extraterritoriaux. Ils portent des responsabilités propres en matière de surveillance humaine, de transparence et de gestion des incidents.
Les organisations actives dans les domaines exclus (défense, sécurité nationale, recherche scientifique pure) doivent veiller à bien délimiter les activités effectivement couvertes par ces exclusions. L'interprétation stricte de ces exceptions impose une vigilance particulière lorsque des systèmes ont des usages mixtes ou lorsque des résultats de recherche sont valorisés commercialement.
L'article 2 de l'AI Act définit le champ d'application du règlement européen sur l'intelligence artificielle en établissant un principe d'application large et extraterritorial, tout en prévoyant des exclusions ciblées pour préserver certains intérêts souverains et la liberté de recherche. Ce champ d'application ambitieux reflète la volonté de l'Union européenne de protéger efficacement ses citoyens contre les risques de l'IA, quelle que soit l'origine géographique des systèmes.
L'approche extraterritoriale du règlement s'inscrit dans la continuité du RGPD et affirme la capacité de l'Union à réguler les acteurs globaux qui opèrent sur son territoire. Cette portée mondiale du règlement peut avoir des effets structurants sur les pratiques internationales en matière d'IA, l'Europe jouant un rôle de standard-setter comparable à ce qu'elle a fait avec le RGPD en matière de protection des données.
Pour les organisations, la maîtrise de l'article 2 constitue le préalable indispensable à toute démarche de conformité. Elle permet d'identifier si et dans quelle mesure l'AI Act s'applique à leurs activités, condition nécessaire pour mettre en œuvre les obligations appropriées et éviter les sanctions prévues en cas de non-conformité. L'entrée en application progressive du règlement offre aux acteurs concernés le temps nécessaire pour s'adapter, à condition de ne pas attendre les dernières échéances pour engager leur mise en conformité.