AI Act : le calendrier et ce qu’il impose

Le règlement (UE) 2024/1689, dit « AI Act », est entré en vigueur le 1er août 2024. Ses obligations ne s’appliquent pas d’un bloc : elles se déploient par étapes, et leur intensité dépend du niveau de risque du système concerné.

Le calendrier

Le 2 février 2025, deux séries de dispositions sont devenues applicables : l’interdiction des pratiques à risque inacceptable, et l’obligation de littératie en IA (former les personnes qui conçoivent ou utilisent ces systèmes).

Le 2 août 2025, ce sont les obligations relatives aux modèles d’IA à usage général (GPAI) qui entrent en vigueur.

Le 2 août 2026 marque l’échéance principale : la majorité des obligations applicables aux systèmes à haut risque de l’annexe III deviennent contraignantes.

Le 2 août 2027, enfin, s’appliquent les obligations visant les systèmes à haut risque intégrés à des produits déjà soumis à une réglementation sectorielle.

Les niveaux de risque

Le règlement gradue les obligations selon quatre niveaux. Le risque inacceptable est interdit (notation sociale, manipulation, certaines surveillances biométriques). Le haut risque est autorisé mais lourdement encadré : gestion des risques, documentation technique, supervision humaine, transparence. Le risque limité n’impose que des obligations de transparence — signaler, par exemple, qu’on interagit avec une IA ou qu’un contenu est généré. Le risque minimal reste libre.

Fournisseur ou déployeur

Les obligations diffèrent selon le rôle tenu : fournisseur (qui développe et met le système sur le marché) ou déployeur (qui l’utilise sous sa responsabilité). Identifier ce rôle conditionne tout le reste.

Recenser les systèmes d’IA réellement exploités, les classer par niveau de risque, puis en déduire les obligations applicables : c’est le point de départ de toute mise en conformité.