Retour à l'accueil
    Guide12 min de lecture

    Checklist de conformité au règlement IA UE pour 2025

    Le règlement IA UE (Règlement 2024/1689) est le premier cadre juridique complet au monde pour l'intelligence artificielle. Il est entré en vigueur le 1er août 2024 avec un calendrier de mise en œuvre échelonné. Ce guide détaille chaque obligation par rôle, niveau de risque et échéance.

    Échéances clés

    DateCe qui s'applique
    2 fév. 2025Pratiques d'IA interdites (Article 5) et littératie IA (Article 4)
    2 août 2025Obligations relatives aux modèles GPAI, structure de gouvernance, règles de confidentialité, cadre de sanctions
    2 août 2026Application complète — toutes les obligations relatives aux systèmes d'IA à haut risque, évaluation de la conformité, marquage CE, enregistrement, devoirs du déployeur
    2 août 2027Obligations de l'Article 6(1) — systèmes d'IA à haut risque qui sont des composants de sécurité de produits couverts par la législation d'harmonisation UE
    31 déc. 2030Les systèmes d'IA legacy dans les systèmes informatiques UE à grande échelle (Annexe X) doivent être mis en conformité

    Pratiques d'IA interdites (Article 5)

    Les pratiques d'IA suivantes sont strictement interdites, avec des amendes pouvant atteindre 35 millions d'EUR ou 7 % du chiffre d'affaires annuel mondial :

    • Manipulation subliminale ou techniques trompeuses causant un préjudice important
    • Exploitation de vulnérabilités liées à l'âge, au handicap ou à la situation sociale/économique
    • Notation sociale par les autorités publiques entraînant un traitement préjudiciable
    • Identification biométrique à distance en temps réel dans les espaces publics à des fins répressives (avec exceptions limitées)
    • Extraction non ciblée d'images faciales depuis Internet ou la vidéosurveillance pour des bases de reconnaissance faciale
    • Reconnaissance des émotions sur les lieux de travail et dans les établissements d'enseignement (avec exceptions limitées)
    • Catégorisation biométrique pour déduire la race, les opinions politiques, l'appartenance syndicale, les convictions religieuses ou l'orientation sexuelle
    • Police prédictive individuelle fondée uniquement sur le profilage

    Obligations du fournisseur (Article 16)

    Les fournisseurs de systèmes d'IA à haut risque supportent la plus lourde charge de conformité. Avant de mettre un système sur le marché ou en service, les fournisseurs doivent :

    1. Système de gestion des risques (Art. 9) — Établir un processus continu et itératif sur tout le cycle de vie du système d'IA
    2. Gouvernance des données (Art. 10) — Garantir que les jeux de données d'entraînement, de validation et de test répondent à des critères de qualité avec des propriétés statistiques appropriées
    3. Documentation technique (Art. 11, Annexe IV) — Préparer une documentation complète couvrant les 9 sections requises avant la mise sur le marché
    4. Tenue des registres (Art. 12) — Intégrer des fonctionnalités de journalisation automatique proportionnées à la finalité prévue du système
    5. Transparence (Art. 13) — Concevoir le système afin que les déployeurs puissent interpréter la sortie et l'utiliser de manière appropriée
    6. Surveillance humaine (Art. 14) — Mettre en place des mesures permettant une surveillance humaine effective lors de l'utilisation du système
    7. Exactitude, robustesse et cybersécurité (Art. 15) — Atteindre des niveaux appropriés tout au long du cycle de vie
    8. Système de gestion de la qualité (Art. 17) — Documenter les politiques et procédures garantissant une conformité continue
    9. Évaluation de la conformité (Art. 43) — Réaliser la procédure d'évaluation appropriée avant la mise sur le marché
    10. Déclaration UE de conformité (Art. 47) — Établir et tenir à jour pour chaque système d'IA à haut risque
    11. Marquage CE (Art. 48) — Apposer de manière visible, lisible et indélébile sur le système
    12. Enregistrement base de données UE (Art. 49) — Enregistrer le système et le fournisseur dans la base UE avant la mise sur le marché

    Obligations du déployeur (Article 26)

    Les organisations qui utilisent des systèmes d'IA à haut risque (déployeurs) ont leurs propres obligations :

    • Utilisation conforme aux instructions — Mettre en place des mesures techniques et organisationnelles appropriées pour utiliser le système selon les instructions d'utilisation du fournisseur
    • Surveillance humaine — Affecter des personnes qualifiées dotées de la compétence, de la formation, de l'autorité et du soutien nécessaires pour superviser le fonctionnement du système
    • Pertinence des données d'entrée — Lorsque le déployeur contrôle les données d'entrée, s'assurer qu'elles sont pertinentes et suffisamment représentatives pour la finalité prévue
    • Surveillance — Surveiller le fonctionnement du système sur la base des instructions d'utilisation et informer le fournisseur de tout risque ou incident grave
    • Conservation des logs — Conserver les logs générés automatiquement pendant au moins 6 mois
    • Information des travailleurs — Informer les représentants des travailleurs et les travailleurs concernés avant le déploiement d'un système d'IA à haut risque sur le lieu de travail
    • Analyse d'impact sur les droits fondamentaux — Pour certains déployeurs (organismes publics, entités privées fournissant des services publics), réaliser une analyse de l'impact du système sur les droits fondamentaux avant utilisation

    Obligations de l'importateur et du distributeur

    Les importateurs (Article 23) doivent vérifier que le fournisseur a achevé l'évaluation de la conformité, préparé la documentation technique, apposé le marquage CE et désigné un représentant autorisé. Ils ne doivent pas mettre sur le marché un système non conforme.

    Les distributeurs (Article 24) doivent vérifier la présence du marquage CE, de la déclaration UE de conformité et des instructions d'utilisation. Ils doivent s'assurer que les conditions de stockage et de transport ne compromettent pas la conformité.

    Structure des sanctions (Article 99)

    ViolationAmende maximale
    Pratiques d'IA interdites (Art. 5)35M EUR ou 7 % du chiffre d'affaires mondial
    Obligations du fournisseur, déployeur, importateur, distributeur15M EUR ou 3 % du chiffre d'affaires mondial
    Informations inexactes ou trompeuses aux autorités7,5M EUR ou 1 % du chiffre d'affaires mondial

    Pour les PME et les start-up, les amendes sont plafonnées au plus bas entre le pourcentage et le montant fixe. Parmi les facteurs atténuants : auto-signalement, degré de coopération et mesures techniques déjà mises en place.

    En résumé : le règlement IA UE n'est pas optionnel. Si vous développez, déployez, importez ou distribuez des systèmes d'IA dans l'UE, vous devez cartographier vos obligations maintenant. Les règles sur les pratiques interdites sont déjà en vigueur et les obligations complètes pour les systèmes à haut risque s'appliquent à partir d'août 2026.

    LandingRed automatise tout cela

    Arrêtez de gérer la conformité dans des feuilles de calcul. Classifiez, documentez, évaluez et surveillez vos systèmes d'IA depuis une seule plateforme.