AI Act : exclusif, l’UE interdit dès aujourd’hui les IA « à risque »

26 Août 2025 | Actus IA

ALERTE – règlement européen sur l’intelligence artificielle : l’AI Act entre en scène, et l’horloge tourne pour les systèmes à risque inacceptable.

Depuis le vendredi 2 février 2025, 00 h 01, les premiers articles du très attendu AI Act s’appliquent enfin. Exit la fiction : l’Union européenne passe des intentions aux sanctions, dessinant les contours d’une IA éthique, sécurisée et conforme aux valeurs fondamentales du Vieux Continent.

Les fondamentaux du règlement européen, en trois dates clés

Le Parlement européen a voté ce texte en mars 2024, puis son entrée en vigueur technique a été fixée au 1ᵉʳ août 2024. Ce n’est pourtant qu’aujourd’hui, 2 février 2025, que les premières obligations deviennent opposables. Comme pour le RGPD en 2018, Bruxelles mise sur une montée en puissance progressive :

  • 2 février 2025 : interdiction immédiate des pratiques à risque inacceptable.
  • 2 août 2025 : règles dédiées aux modèles d’IA à usage général (fondations modèles, LLM, etc.).
  • 2 août 2026 : conformité intégrale exigée pour tous les systèmes d’IA à risque élevé.

À titre de repère, la Commission européenne publiera dès le printemps 2025 un guide d’application et un référentiel de bonnes pratiques, sorte de « kit de survie » pour les équipes produit, les juristes et les data scientists.

Quels systèmes d’IA sont interdits depuis le 2 février 2025 ?

La question brûle les lèvres des développeurs comme des investisseurs. Voici le décryptage attendu :

  • Risque inacceptable (banni dès aujourd’hui)

    • Notation sociale de type « credit score citoyen » (surveiller, classer, pénaliser).
    • Exploitation de la vulnérabilité de mineurs ou de personnes handicapées (manipulation comportementale).
    • Reconnaissance biométrique à distance, en temps réel, dans l’espace public, sauf dérogations ultra-cadrées (terrorisme imminent).

  • Risque élevé (compte à rebours jusqu’en 2026)

    • Algorithmes de recrutement, systèmes de notation scolaire, outils prédictifs judiciaires.
    • Applications médicales, infrastructures critiques, sécurité des transports.
    • Dispositifs biométriques hors « temps réel » mais sensibles (contrôle d’accès, e-KYC).

  • Risque limité (obligation d’information)

    • Chatbots et assistants vocaux : l’utilisateur doit savoir qu’il dialogue avec une machine.
    • Générateurs d’images ou de son : mention explicite si l’output peut être confondu avec un contenu humain.

  • Risque minimal

    • Systèmes de recommandation de playlists, filtres anti-spam classiques, jeux vidéo.

Cette grille à quatre niveaux, inspirée de la sécurité alimentaire ou du contrôle aérien, vise la clarté. Pour les start-up, la mise en conformité AI Act pour start-up innovantes n’est plus une option.

Pourquoi l’AI Act bouleverse-t-il déjà la stratégie des entreprises ?

Flashback : en 2023, Eurostat révélait que 35 % des sociétés européennes utilisaient au moins une solution IA dans leurs processus internes. À l’aune du nouveau cadre juridique, trois impacts majeurs se dessinent.

1. Gouvernance et documentation renforcées

Fini le « move fast and break things ». Toute IA classée risque élevé devra prouver :

  • traçabilité des données d’entraînement,
  • analyse d’impact sur les droits fondamentaux,
  • contrôle humain à chaque étape critique.

Les juristes internes héritent donc d’un rôle pivot, épaulés par des profils « Ethics & Compliance » flambant neufs.

2. Sélection rigoureuse des fournisseurs

Les grandes enseignes de la distribution ou de la finance redemandent désormais un audit AI Act dans leurs appels d’offres. Les éditeurs de logiciels qui ignorent la norme s’exposent à l’exclusion de marchés publics et privés, notamment en e-commerce responsable ou en cybersécurité des PME.

3. Opportunité d’innovation responsable

D’un côté, certains déplorent un frein potentiel à la créativité. D’un autre, le cadre commun offre une sécurité juridique qui attire les investisseurs. Preuve : le fonds européen EIC Accelerator a déjà annoncé, en janvier 2025, un ticket de 150 millions d’euros dédié aux projets « AI for Good » conformes à l’AI Act.

Comment se mettre en conformité sans freiner l’innovation ?

La Commission, sous l’impulsion de la vice-présidente Margrethe Vestager, publiera en mai 2025 un « guide pratique classification risque IA ». D’ici là, cinq réflexes minimisent la prise de risque :

  1. Cartographier tous les algorithmes en production, de l’outil RH au moteur de scoring client.
  2. Identifier le niveau de risque via la taxonomie officielle.
  3. Mettre en place une gouvernance inter-disciplinaire (tech, juridique, éthique).
  4. Tester la robustesse et la cybersécurité (fail-over, red teaming).
  5. Documenter et archiver chaque itération (transparence ex-ante et ex-post).

Les PME disposant d’équipes réduites peuvent s’appuyer sur les bacs à sable réglementaires que les États membres annoncent pour 2025-2026, à l’image du « sandbox IA » déjà testé à Paris-Saclay.

AI Act : aubaine ou carcan ? Le débat reste ouvert

L’histoire regorge d’exemples où la régulation a stimulé l’innovation. Au XVIᵉ siècle, l’invention de l’imprimerie s’est accompagnée des premiers dépôts légaux pour contrôler les pamphlets. Plus près de nous, le RGPD a poussé les solutions « privacy by design » qui dominent aujourd’hui la scène martech.

Dans la foulée, certains chercheurs, tels que Yoshua Bengio (lauréat du Turing Award), considèrent l’AI Act comme un « compromis pragmatique ». D’autres, au contraire, redoutent un écart de compétitivité avec les États-Unis ou la Chine, moins frileux sur les usages biométriques. Le match est loin d’être terminé : l’indice mondial d’investissement IA de Stanford affiche déjà +18 % sur 2024, tandis que l’Europe capte seulement 8 % des fonds.

Et demain ? Les jalons à surveiller de très près

  • Printemps 2025 : publication des lignes directrices Commission IA 2025 et ouverture du registre public des systèmes à haut risque.
  • Été 2025 : entrée en scène des obligations dédiées aux modèles d’IA à usage général (foundation models, GPT-like).
  • Août 2026 : régime complet pour la totalité des applications à risque élevé, avec potentiellement des amendes jusqu’à 7 % du chiffre d’affaires mondial.
  • 2027 : première évaluation officielle de l’AI Act, comparable au « review mechanism » du RGPD.

Le AI Act n’est pas qu’un texte juridique ; c’est un nouveau contrat social autour de l’intelligence artificielle. J’ai échangé, ces dernières semaines, avec des CTO de scale-ups berlinoises : tous reconnaissent la montée en compétence qu’implique ce chantier. Certains y voient un challenge créatif, à la manière des réalisateurs de la Nouvelle Vague contraints par de petits budgets, mais galvanisés par la liberté artistique.

Vous aussi, explorez ces contraintes comme un levier d’excellence. Analysez votre stack, formez vos équipes, réinventez vos roadmaps. L’aventure ne fait que commencer : à vous de jouer pour façonner une IA européenne, responsable et audacieuse.